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如 今 已 经 进入 信息 化 时 代 ， 随 着 网 络 技术 的 飞速 发 展 ， 上 网 已 经 成 为 个 人 生活 与 工作 中 获取 信息 的 重要 手段 ， 网 上 消费 也 随 
之 不 断 增多 。 但 是 随 着 网 络 带 给 人 们 生活 便捷 的 同时 ， 各 种 网 络 病毒 、 木 马 也 纷纷 出 现 ， 给 我 们 的 个 人 信息 财产 安全 带 来 严重 威 
胁 。 于 是 ， 构 建 一 个 良好 的 网 络 环境 ， 对 于 病毒 和 系统 漏洞 做 好 安全 防范 以 及 及 时 查 杀 病毒 和 修复 漏洞 就 显得 尤为 重要 。 为 了 避 
免 计 算 机 网 络 遭 遇 恶 意 软 件 、 病 毒 和 黑客 的 攻击 ， 就 必须 要 做 好 计算 机 网 络 安全 维护 和 防范 。 


本 书 介绍 黑客 攻防 基础 知识 ， 由 浅 入 深 地 讲述 黑客 攻击 的 原理 、 常 用 手段 ， 让 读者 在 了 解 黑客 攻击 的 同时 学 到 拒 敌 于 千里 之 
外 的 方法 。 


本 书 以 配 图 、 图 释 、 标 注 、 指 引线 框 等 丰富 的 图 解 手段 ， 再 辅 以 浅显 易 懂 的 语言 ， 对 各 个 知识 点 进行 了 详细 介绍 ， 并 介绍 了 
相关 代表 性 产品 和 工具 的 使 用 方法 ， 使 得 读者 可 对 网 络 安全 主动 防护 及 黑客 入 侵 主动 防御 等 关键 技术 有 一 个 全 面 认识 。 
本 书 特 色 

. 从 零 起 步 ， 逐 步 深 入 ， 通 俗 易 懂 ， 由 浅 入 深 ， 使 初学 者 和 具有 一 定 基础 的 用 户 都 能 逐步 提高 ， 快 速 掌握 黑客 防范 技巧 与 工 
具 的 使 用 方法 。 

- 注重 实用 性 ， 理 论 和 实例 相 结合 ， 并 配 以 大 量 插图 讲解 ， 力 图 使 读者 能 够 融会 员 通 。 

- 介绍 大 量 小 技巧 和 小 窍门 ， 提 高 读者 的 效率 ， 节 省 摸索 时 间 。 


. 重点 突出 ， 操 作 简 练 ， 内 容 丰 富 ， 同 时 附 有 大 量 的 操作 实例 ， 读 者 可 以 一 边 学 习 ， 一 边 在 计算 机 上 操作 ， 做 到 即 学 即 用 、 
即 用 即 得 ， 快 速 掌握 这 些 操作 。 


本 书 紧 紧 围绕 “ 攻 ” 和 “ 防 ”两 个 不 同 的 角度 ， 讲 解 黑客 技术 与 反 黑 工具 的 使 用 方法 。 作 为 一 本 面向 广大 网 络 爱 好 者 的 速 查 


- 没有 多 少 计算 机 操作 基础 的 广大 读者 。 

- 需要 获得 数据 保护 的 日 常 办 公 人 员 。 

" 喜欢 看 图 学 习 的 广大 读者 。 

- 相关 网 络 管理 人 员 、 网 吧 工 作 人 员 等 。 

明确 学 习 目 的 、 喜 欢 钻 研 黑 客 技术 但 编程 基础 薄弱 的 读者 。 


.网络 管理 员 及 广大 网 友 。 


第 1 草 ”黑客 基础 知识 


想 要 学 习 黑 客 知识 ， 就 得 了 解 进程 、 端 口 、IP 地 址 以 及 黑客 常见 的 术语 和 命令 。 针 对 初学 者 对 这 方面 了 解 不 多 的 特点 ， 本 章 
专门 讲解 有 关 基 础 知识 ， 从 而 帮助 读者 为 后 面 的 学 习 打 好 基础 。 


1.1 认识 黑客 


1.1.1 “和 白 帽 、 灰 帽 以 及 黑 帽 黑客 


1994 年 以 来 ，Internet 在 全 球 迅猛 发 展 ， 为 人 们 提供 了 方便 、 快 捷 和 更 多 创造 财富 的 机 会 ， 政 治 、 军 事 、 经 济 、 科 技 、 教 
育 、 文 化 等 各 个 方面 都 越 来 越 网 络 化 ， 网 络 逐 渐 成 为 人 们 生活 、 娱 乐 的 一 部 分 。 可 以 说 ， 信 息 时 代 已 经 到 来 ， 信 息 已 成 为 物质 和 
能 量 以 外 维持 人 类 社会 的 “第 三 资源 ”， 它 是 未 来 生活 中 的 重要 介质 。 随 着 计算 机 的 普及 和 Internet 技 术 的 迅速 发 展 ， 黑 客 也 出 
AT. 


wH 


黑客 的 基本 涵义 是 指 一 个 拥有 熟练 计算 机 技术 的 人 。 但 大 部 分 的 媒体 将 “黑客 ”用 于 指 网 络 侵入 者 。 


白 巾 黑客 是 指 有 能 力 破 坏 计算 机 网 络 安全 但 不 具 恶意 目的 的 黑客 。 白 帽 一 般 有 清楚 的 道德 规范 ， 并 常常 试图 同 企业 合作 以 改 
善 被 发 现 的 企业 网 络 安 全 弱点 。 


灰 幅 黑 客 是 指 对 于 伦理 和 法 律 暖 昧 不 清 的 黑客 。 


黑 由 黑客 别称 骇 客 ， 这 个 词 自 1983 年 开始 流行 ， 大 概 是 由 于 采用 了 相似 发 音 和 对 safe cracker 的 解释 ， 并 且 理 论 化 为 一 个 犯 
罪 和 黑客 的 混成 语 。 


1.2 ”认识 进程 与 端口 


1.2.1 系统 进程 


进程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 当 运行 一 个 程序 时 ， 就 启动 了 一 个 进程 。 显 然 ， 程 序 是 静态 的 ， 进 程 是 动态 的 。 进 
程 可 以 分 为 系统 进程 和 用 户 进程 两 种 。 凡 是 用 于 完成 操作 系统 的 各 种 功能 的 进程 就 是 系统 进程 ， 它 们 就 是 处 于 运行 状态 下 的 操作 
系统 本 身 ; 用 户 进程 就 是 所 有 由 用 户 启动 的 进程 。 进 程 是 操作 系统 进行 资源 分 配 的 单位 。 


在 Windows 系 统 中 按 Ctrl+Shift+Esc 组 合 键 ， 即 可 打开 “Windows 任 务 管理 器 ”窗口 。 切 换 到 “进程 ”选项 卡 ， 即 可 看 到 
本 机 中 开启 的 所 有 进程 ， 用 户 名 为 SYSTEM 所 对 应 的 进程 便 是 系统 进程 。 这 些 进程 的 名 称 及 含义 如 表 1-1 所 示 。 如 果 想 设置 进程 
显示 的 内 容 ， 则 选择 “查看 ”一 “选择 列 ” 菜 单项 ， 在 “选择 进程 页 列 ” 对 话 框 中 勾 选 相应 的 复 选 框 即 可 。 


explorer.exe 


ctfmon. exe 
3&0sd. exe 
BaiduPlaye... 
Bai duAn. exe 
QU. exe 
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3501 angl an. . . 
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查看 本 机 中 开启 的 进程 
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勾 选 需要 显示 的 内 容 
表 1-1 系统 进程 的 名 称 和 基本 含义 


名 称 基 本 * X 

conime.exe 该 进程 与 输入 法 编辑 顺 相 关 ， 人 能够 确保 正常 调整 和 编辑 系统 中 的 输入 法 

CSTSS.eXe 该 进程 是 微软 客户 端 /服务 端 运行 时 子 系统 ， 负 责 一 Windows 图 形 相 关 任 务 

ctfmon.exe 该 进程 与 输入 法 有 关 ， 它 的 正常 运行 能 够 确保 语言 栏 正常 显示 在 任务 栏 中 

i 该 进程 是 Windows 资源 管理 器 ， 可 以 说 是 Windows Ts 形 界面 外 元 程 序 ， 它 的 正常 运行 能 
够 确保 桌 ii [fij 显示 图 标 和 任 ge 

lsass.exe 该 进程 用 于 Windows 操作 系统 的 安全 机 制 、 本 地 安全 和 登录 策略 

services.exe 该 进程 用 于 启动 和 停止 系统 中 的 服务 ， 如 果 用 户 手动 终止 该 进程 ， 系 统 也 会 重新 启动 该 进程 

smss.exe 该 进程 用 于 调用 对 话 管理 子 系统 ， 负 责 用 户 与 操作 系统 的 对 话 

apo eM als SERE (DLL) 中 运行 的 服务 的 通用 主机 进程 名 称 ， 如 果 用 户 手 动 终止 该 

svchost.exe "e: 本 
进程 ， 系 统 也 会 重新 启动 该 进程 

system 该 进 得 是 是 Windows 页 面 内 存 管 理 进程 ， 它 能 够 确保 系统 的 正常 启动 


该 进程 的 功能 是 在 CPU 空闲 时 发 出 一 个 命令 ,使 CPU 挂 起 (暂时 停止 工作 )， 从 而 有 效 降 
低 CPU 内 核 的 温度 
winlogon.exe 该 进程 是 Windows NT 用 户 登 录 程序 ， 主 要 用 于 管理 用 户 登录 和 退出 


system idle process 


1.3 ”常见 的 网 络 协 议 


在 网 络 中 ， 计 算 机 之 间 需 要 交换 信息 就 必须 使 用 相同 的 网 络 协议 。 网 络 协议 就 像 人 们 说 话 使 用 的 某 种 语言 一 样 ， 它 是 网 络 上 
计算 机 之 间 的 一 种 语言 。 


14 在 计算 机 中 创建 虚拟 测试 环境 


黑客 无 论 在 测试 和 学 习 黑 客 工具 操作 方法 还 是 在 攻击 时 ， 都 不 会 拿 实 体 计 算 机 来 尝试 ， 而 是 在 计算 机 中 搭建 虚拟 环境 ， 即 在 
自己 已 存在 的 系统 中 ， 利 用 虚拟 机 创建 一 个 内 在 的 系统 ， 该 系统 可 以 与 外 界 独 立 ， 但 与 已 经 存在 的 系统 建立 网 络 天 系 ， 从 而 方便 
使 用 某 些 黑客 工具 进行 模拟 攻击 。 并 且 一 旦 黑客 工具 对 虚拟 机 造成 了 破坏 ， 也 可 以 很 快 恢 复 ， 不 会 影响 自己 本 来 的 计算 机 系统 ， 
使 操作 更 加 安全 。 


第 2 章 Windows 系 统 中 的 命令 行 基础 


对 于 系统 和 网 络 管理 者 ， 繁 杂 的 服务 器 管理 及 网 络 管理 是 日 常 工作 的 主要 内 容 。 网 络 越 大 ， 其 管理 工作 强度 就 起 大， 管理 难 
度 也 随 之 加 大 。 传 统 窗口 化 的 操作 方式 虽然 容易 上 手 ， 但 对 于 技术 熟练 的 管理 人 员 ， 这 些 便利 已 成 为 一 种 “ 隐 性 ”工作 负担 。 
此 ， 降 低 工 作 强 度 和 管理 难度 就 成 为 系统 管理 人 员 的 最 大 问题 ， 而 命令 行 可 以 很 好 地 解决 这 些 问题 。 


2.4 Windows 系 统 中 的 命令 行 


随 着 互联 网 的 普及 ， 网 络 用 户 的 逐渐 增多 ， 由 此 带 来 的 安全 问题 也 威胁 着 计算 机 安全 ， 而 Windows 操 作 系 统 本 身 都 自 带 一 
些 病 毒 和 受 损 的 文件 ， 常 常 影响 着 用 户 的 正常 工作 。 熟 练 掌握 命令 行 的 使 用 方法 ， 将 会 在 Windows 操 作 中 使 用 的 得 心 应 手 ， 从 
而 提高 工作 效率 。 因 此 ， 要 想 保障 系统 的 稳定 安全 ， 就 需要 先 掌握 Windows 系 统 中 命令 行 的 相关 知识 。 


2.2 在 Windows 系 统 中 执行 DOS 命 令 


由 于 Windows 系 统 彻底 脱离 了 DOS 操 作 系统 ， 所 以 无 法 直接 进入 DOS 环 境 ， 只 能 通过 第 三 方 软件 来 进行 ， 如 一 键 GHOST 
硬盘 版 等 。 但 Windows 系 统 提供 了 一 个 “命令 提示 符 ” 附 件 ， 可 以 提供 基于 字符 的 应 用 程序 运行 环境 。 通 过 使 用 类 似 MS-DOS 
命令 解释 程序 中 的 各 个 字符 ,命令 提示 符 执行 程序 并 在 屏幕 上 显示 输出 。Windows 命 令 提示 符 使 用 命令 解释 程序 cmd， 将 用 户 
输入 转化 为 操作 系统 可 理解 的 形式 。 


2.3 全面 认识 DOS 系 统 


在 使 用 DOS 时 ， 还 会 经 常 听 到 MS-DOS 与 PC-DOS， 对 初学 者 来 说 ， 二 者 可 以 认为 没有 区 别 。 事 实 上 ，MS-DOS 由 
Microsoft (微软 公司 ) 出 品 ， 而 PC-DOS 则 由 IBM 对 MS-DOS 略 加 改动 而 推出 。 由 于 微软 公司 在 计算 机 业界 的 垄断 性 地 位 ， 其 
产品 MS-DOS 成 为 主流 操作 系统 。MS-DOS 主 要 由 MSDOS.SYS、1O.SYS 和 COMMAND.COM 等 3 个 基本 文件 和 一 些 外 部 命令 
组 成 。 


第 3 章 ”黑客 常用 的 Windows 网 络 命令 


使 用 网 络 命令 可 以 判断 网 络 故 障 以 及 网 络 运 行情 况 ， 是 网 络 管理 员 必 须 掌握 的 一 种 技能 。Windows 下 的 网 络 管理 命令 功能 
十 分 强大 ， 对 于 黑客 来 说 ,命令 行 中 的 网 络 管理 工具 是 其 必须 掌握 的 利器 。 


3.1 黑客 常用 的 网 络 命令 


3.1.1 ”测试 物理 网 络 的 ping 命 令 


通过 发 送 Internet 控 制 消息 协议 (ICMP) 并 接收 其 应 答 ， 测 试验 证 与 另 一 台 TCP/IP 计 算 机 的 IP 级 连通 性 。 对 应 的 应 答 消息 
的 接收 情况 将 和 往返 过 程 的 时 间 一 起 显示 出 来 。ping 是 用 于 检测 网 络 连 接 性 、 可 到 达 性 和 名 称 解析 的 疑难 问题 的 主要 TCP/IP 命 
令 。 如 果 不 带 参数 ，ping 将 显示 帮助 。 通 过 在 命令 提示 符 下 输入 ping/ 命 令 ， 即 可 查看 ping/? 命 令 的 详细 说 明 。 


Em 管理 员 : CAWindowsVsysteihdZAcilid.exe 


:NJsers dministrator2ping/? 


用 法 : ping [-t] [-a] [-n count] [-1 size] [-f] [-i TTL] [-v TOS] 
[-r count] [-s count] [[-j host-list] i [-k host-list]]l 
[-w timeout] [-R] [-S srcaddr] [-4] [-6] target_name 


Ping EEREN, RE lf FIE. 
区 查看 统 1 s isie ME - 请 键入 Control-Break; 
easy C. 


count 
size 


“不 分 段 ” 标 志 ( 仅 适用 于 IPv4>。 


i TTL 
TOS 


count 
count 
i host-list 
host-list 
| timeout 


srcaddr 


ping[-t]-a]-n count] size][-{][-i TTL][-» TOS][-r count][-5 count(-j Hostlist|-k hostlist}][-w Timeout][TargetName] 


: 指定 在 中 断 前 ping 可 以 持续 发 送 回响 请 求 信 息 到 目的 地 。 要 中 断 并 显示 统计 信息 ， 可 按 Ctrl+Btreak 组 合 键 。 要 中 断 并 退 
出 bing， 可 按 Ctd+C 组 合 键 。 


ca: 指定 对 目的 IP 地 址 进行 反 向 名 称 解 析 。 若 解析 成 功 ，ping 将 显示 相应 的 主机 名 。 


(Oni 发 送 指定 个 数 的 数据 包 。 通 过 这 个 命令 可 以 自己 定义 发 送 包 的 个 数 ， 对 衡量 网 络 速度 有 很 大 帮助 。 能 够 测试 发 送 数据 
包 的 返回 平均 时 间 及 时 间 快 慢 程度 (默认 值 为 4) 。 选 购 服务 器 (虚拟 主机 ) 前 可 以 把 这 个 作为 参考 。 


d: 发 送 指定 大 小 的 数据 包 。 默 认为 32Byte， 最 大 值 是 65500Byte。 


-f 在 数据 包 中 发 送 “不 要 分 段 ” 标 志 ， 数 据 包 就 不 会 被 路 由 上 的 网 关 分 段 。 默 认 发 送 的 数据 包 都 通过 路 由 分 段 后 再 发 送 
给 对 方 ， 加 上 此 参数 后 路 由 就 不 会 再 分 段 处 理 了 。 


4: 将 “生存 时 间 ” 字 段 设置 为 TIL 指定 的 值 。 指 定 TTL 值 在 对 方 系统 中 停留 的 时 间 ， 同 时 检查 网 络 的 运转 情况 。 
v: 将 “服务 类 型 ”字段 设置 为 TOS (Type Of Server) 指定 的 值 。 


oc: 在 “记录 路 由 ”字段 中 记录 传 出 和 返回 数据 包 的 路 由 。 通 常情 况 下 ， 发 送 的 数据 包 通 过 一 系列 路 由 才 到 达 目 标 地 址 ， 
过 此 参数 可 设 定 想 探 测 经 过 路 由 的 个 数 ， 限 定 能 跟踪 到 9 个 路 由 。 


: 指定 count 的 跃 点 数 的 时 间 玲 。 与 参数 -t+ 差不多， 但 此 参数 不 记录 数据 包 返 回 经 过 的 路 由 ， 最 多 只 记录 4 个 。 

利用 host-list 指 定 的 计算 机 列表 路 由 数据 包 。 连 续 计 算 机 可 以 被 中 间 网 关 分 隔 ( 路 由 稀 玖 源 ) IP 允 许 的 最 大 数量 为 9。 
--k: 利用 host-list 指 定 的 计算 机 列表 路 由 数据 包 。 连 续 计算 机 不 能 被 中 间 网 关 分 隔 ( 路 由 严格 源 ) IP 人 允许 的 最 大 数量 为 9。 
:-w: timeout 指 定 超时 间隔 ， 单 位 为 ms。 


` Target Name: 指定 要 ping 的 远程 计算 机 名 。 


利用 ping 命 令 可 以 快速 查找 局 域 网 故障 ， 快 速 搜索 最 快 的 QQ 服务 器 ， 实 现 对 他 人 进行 ping 攻 击 。 
1) ping 自 己 的 机 器 ， 可 键入 ping 192.168.1.10 命 令 ， 运 行 结果 如 图 所 示 。 


2) 如 果 在 命令 提示 符 下 键入 ping ww 命令 ， 运 行 结果 如 图 所 示 。 表 示 连 接 正 常 ， 所 有 发 送 的 包 均 被 成 功 接 
收 ， 丢 包 率 为 0。 


icrosoft Windows LER n I 
BD €c» 2889 Microsoft Corporation. [pg B: 机 


[2 as ™ ANdlministratorbring i192.16H.1.1y 


Ping 192.168.1.1 内 有 2 ZPPA: 

192 .168.1.10 HDA: FP -32 AJA ina TTL =64 
192.168.1.10 H" er TIL=64 
192.168.1.1E ik 3S EFFET TIL=64 
192.1068. =: 字 节 =32 时 | 站 *1ms TTL=6 生 


92.168.1.18 l | 
， 王 和 = 日 Hx EE), 


XH i His cl 2 


L 
FT = bins EB 


HE | IER Ea 


ping 192.168.1.10 结 果 


Ping Wuy.a.Shifen.con 

2 32 

61.135.169.121 HDE: 2 后 13| =4ms TITL=5B 
,135.169.121 HOES: 77-32 乓 可 -3ms TTL-58 
EE IMBRE Mim EE T M TTL=58 


ER), 


G: Wsers Wdninistrator> 


ping Daic 结果 


3) 若 想 验证 目的 地 211.84.112.29 并 记录 4 个 跃 点 的 路 由 ， 则 应 在 命令 提示 符 下 键入 ping-r 4211.84.112.29 命 令 ， 以 检测 该 
网 络 内 路 由 器 工作 是 否 正 常 。 结 果 如 图 所 示 。 


4) 测试 到 网 站 的 连通 性 及 所 经 过 的 路 由 器 和 网 天 ， 并 只 发 送 一 个 测试 数据 包 。 在 命令 提示 符 下 键入 ping 
命令 。 结 果 如 图 所 示 。 


:Vsers'hdmninistratoh>pPing -r 4 211.84.112.29 


Ping 211.814.112.2) 上 月 有 : 


.84.112.29 的 Ping ES E 
HRE: BAE = 4， 已 接收 = 0, Z% = 4《198x Z5» 


C: WsersMidministrator? 


ping-r 4211.84.112.2025 $% 


mj ERA: 15:43 
j host-list i FALAI MIRASA EEF TIPu4y》， 
-k host-list 林强 志 一 起 的 严格 3 3E 由 < 人 这 用 于 TIpPu4)， 
-w tineout = 次 - 
R 
S srcaddr 
-4$ 
-h 


Misers MalmninistratovrpPing waw.baidu.com -ni LSU 


tr ind T2783 11598 81309 K 32901 P P3 ES 32 
£r 
上 d) 


1.135. 163. 


: Wsers Administrator? 


ping www.baidu.com-n 1-r 9 结果 


3.2 ”其 他 的 网 络 命令 
任何 一 个 网 络 管理 员 ， 都 必须 掌握 网 络 管理 构成 中 经 常用 到 的 一 些 管理 命令 和 工具 。 网 络 管理 是 任何 一 个 网 络 得 以 正常 运行 


的 保障 ， 依 据 规模 大 小 、 重 要 性 、 复 杂 程度 不 同 ， 网 络 管理 的 重要 性 也 会 有 所 差异 ， 同 时 对 网 络 管理 人 员 的 技术 水 平 要 求 也 会 有 
所 不 同 。 但 任何 一 个 网 络 管理 员 都 必须 掌握 网 络 管理 构成 中 经 常用 到 的 一 些 管理 命令 和 工具 。 


第 4 章 ” 单 见 的 黑客 攻击 方式 


在 很 多 人 的 眼中 ， 黑 客 使 网 络 中 充斥 着 太 多 骗局 和 陷阱 ， 他 们 使 用 各 种 攻击 手段 来 达到 其 不 可 告 人 的 目的 。 通 过 本 章 的 学 
习 ， 读 者 可 以 了 解 黑 客 的 攻击 手段 和 原理 ， 从 而 采取 一 些 抵制 黑客 入 侵 的 措施 ， 保 护 自 己 的 系统 安全 。 


4.1 网 络 欺 骗 攻 击 曝光 


客 纂 改过 ， 了 网 页 上 的 信息 是 虚假 的 。 例 如 ， 黑 客 将 用 户 要 浏览 的 网 页 的 URL 改 写 为 指向 黑客 自己 的 服务 器 ， 当 用 户 浏览 目标 网 页 
的 时 候 ， 实 际 上 是 向 黑客 服务 器 发 出 请 求 ， 这 样 黑 客 就 可 以 实现 欺骗 的 目的 。 


42 口令 猜 解 攻击 曝光 


口令 认证 是 目前 防止 黑客 进入 和 使 用 系统 最 有 效 也 是 最 常用 的 做 法 。 获 取 合 法 用 户 的 账号 和 口令 已 经 成 为 黑客 攻击 的 重要 手 
段 之 一 。 在 有 些 情况 下 ， 黑 客 必 须 取得 合法 用 户 或 管理 员 的 口令 才能 进入 和 控制 系统 。 现 在 ， 有 些 黑客 喜欢 破解 他 人 的 各 种 口 
令 ， 如 系统 账户 口令 、 压 缩 文件 口令 等 。 


4.3 缓冲 区 溢出 攻击 曝光 


缓冲 区 溢出 是 一 种 非常 普遍 、 非 常 危险 的 漏洞 ， 在 各 种 操作 系统 、 应 用 软件 中 广泛 人 存在。 利用 缓冲 区 溢出 攻击 ， 可 以 导致 程 
序 运 行 失败 、 系 统 宕 机 、 重 新 启动 等 后 果 。 更 为 严重 的 是 ， 可 以 利用 它 执行 非 授权 指令 ， 甚 至 可 以 取得 系统 特权 ， 进 而 进行 各 种 
非法 操作 。 


Bom HSRKY 


本 章 主要 介绍 黑客 常用 入 侵 工 具 的 使 用 ， 其 中 包括 扫描 工具 和 嗅 探 工具 ， 以 及 系统 监控 与 网 站 漏洞 攻防 等 有 关 知 识 。 这 些 知 
识 使 计算 机 使 用 者 能 够 及 时 采取 相应 的 保护 措施 。 


5.1 ”确定 扫 摘 目标 


黑客 通过 踩点 与 监听 ， 可 以 锁定 一 些 大 致 的 攻击 目标 范围 。 但 要 想 具 体 定位 到 某 台 远程 主机 ， 还 需要 经 过 一 番 操 作 才 行 。 


5.2 HARISA SYNE 


黑客 在 确定 攻击 目标 时 ， 通 常会 使 用 一 些 专门 的 扫描 工具 ， 对 目标 计算 机 或 某 个 IP 学 围 内 的 计算 机 进行 扫描 ， 从 扫描 结果 中 
分 析 这 些 计算 机 的 弱点 ， 从 而 确定 攻击 目标 和 攻击 手段 。 


5.3” 嗅 探 的 实现 与 防范 


5.3.1. 什么 是 嗅 探 器 


嗅 探 器 是 一 种 监视 网 络 数据 运行 的 软件 设备 ， 嗅 探 器 既 能 用 于 合法 的 网 络 管理 ， 也 能 用 于 窃取 网 络 信息 。 网 络 运 作 和 维护 都 
可 以 采用 嗅 探 器 : 如 监视 网 络 流量 、 分 析 数 据 包 、 监 视 网 络 资源 利用 、 执 行 网 络 安全 操作 规则 、 鉴 定 分 析 网 络 数据 ， 以 及 诊断 并 
修复 网 络 问题 等 。 非 法 嗅 探 器 严重 威胁 网 络 安全 ， 这 是 因为 它 实质 上 不 能 进行 探测 行为 且 容 易 随 处 插入 ， 所 以 网 络 黑客 常 将 它 用 
作 攻 击 武器 。 


嗅 探 器 是 一 把 双 刀 剑 ， 如 果 到 了 黑客 的 手 里 ， 它 能 够 捕获 计算 机 用 户 因 为 琉 忽 而 产生 的 漏洞 ， 成 为 一 个 危险 的 网 络 间谍 ; 但 
如 果 到 了 系统 管理 员 的 手 里 ， 则 能 帮助 用 户 监控 异常 网 络 流量 ， 从 而 更 好 地 管理 网 络 。 


5.4 运用 工具 实现 网 络 监控 


5.4.1 运用 Real Spy Monitor 监 控 网 络 


Real Spy Monitor 是 一 个 监测 互联 网 和 个 人 计算 机 ， 以 保障 其 安全 的 软件 ， 键 盘 敲 击 、 网 页 站 点 、 视 窗 开 关 、 程 序 执行 、 


屏幕 扫描 及 文件 的 出 入 等 都 是 其 监控 的 对 象 。 
1. 添 加 使 用 密码 


在 使 用 Real Spy Monitor 对 系统 进行 监控 之 前 ， 要 进行 一 些 设置 ， 具 体 的 操作 步骤 如 下 。 


STEPO1: 启动 Real Spy Monitor 


qd Keal Spy Moncror 


Real Spy Monitor is a Powerful spy-monitoring-security tool. 


Worried about how your PC is being used? Want to keep tabs on 
your children,spouse, employees? Need to Prevent your children 
or employee from some application or websites? Real Spy Monitor 
is the full solution for you. 


This window wil be displayed upon every run of Real Spy Monitor. 
All monitoring intervals during this trial period will terminate after 20 
minutes. This window is eliminated by purchaseing the full version. 


Click on the Ordering Information button to know how to purchase 
this product. 


打开 注册 页 面 ， 阅 读 注 册 信 息 后 ， 单 击 
“Continue.. ”按钮 。 


STEPO2: 输入 密码 


(Jd Password: 


| | 


New Passy ord: 


LRL LL] 


Confirm: 


1. 第 一 次 使 用 ， 没 有 旧 密 码 可 更 — 2. É 1E OK 
M, R S88 34r New PassWord 和 按钮 。 
Confirm 文本 框 中 输入 相同 的 密码 。 


【注意 】 
在 SetPassWord 对 话 框 中 所 填写 的 新 密码 ， 将 会 在 Real Spy Monitor 的 使 用 中 处 处 要 用 ， 所 以 千 万 不 能 忘记 这 个 密码 。 
2. 设 置 弹出 热 键 


之 所 以 需要 设置 弹出 热 键 ， 是 因为 Real Spy Monitor 运 行 时 会 较 彻 底 地 将 自己 隐藏 ， 用 户 在 “任务 管理 器 ”等 处 看 不 到 该 
程序 的 运行 。 要 将 运行 时 的 Real Spy Monitor 调 出 就 要 使 用 热 键 ， 否 则 即使 单 击 “ 开 始 ”菜单 中 的 Real Spy Monitor 荣 单项 也 
不 能 将 其 调 出 。 


设置 热 键 的 具体 操作 步骤 如 下 。 


STEPO1: 返回 Real Spy Monitor 主 窗口 


^ à Real Spy Monitor Bulid 2.93 
Ka Powerful PC 5py-Montonng-Security Software 


Options PC Artüvity 

Startup Settings zz] 0 Keystrokes Logged 

Logging Recorded Websites Visited 

Configure logging opzons 0 Webstes Logged 
Ep Email \ FTP Delivery Windows Viewed 

Set Emal \ FTP Delvery 0 Wndows Logged 
3; Screen Spy £7 Programs Executed 

Record snapshots actwicy 0 Appicstion Logged 
à Hotkey Choice Screen Snapshots 

Set your own hotkey 0 Snapshots Logged 
fis Content Filtering Files Docs Accessed 
: Fiter User's Activitys 0 Fies Logged 


Montorng Status: Not Actwe 


Internet Buttons 


MSN Messenger 
0 Conversations Start Monitor] 
ICQ Messenger (Stop Monitor ) 
0 Conversations 

( PC Artiritr ) 
AOL Messenger 一 一 一 
D Conversations ( Messenger ) 


p Yahoo! Messenger Web Mail 
~ D Conversations 


一 人 ras ) 
YAHOO! Mail (3 
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单 击 Hotkey Choice 图 标 。 


STEPO2: 设置 热 键 


-uritiguratiurt 


Select yaur hatkeu pattern: 


Cirb-Alt-R 


CitrE--Alt--R 


id Stealth Wide} 


在 Select your hotkey patten 项 下 拉 列 表 中 选择 所 
需 热 键 (也 可 自 定义 )。 


3. 监 控 浏 览 过 的 网 站 


在 完成 了 最 基本 的 设置 后 ， 就 可 以 使 用 Real Spy Monitor 进 行 系统 监控 了 。 下 面 讲 述 Real Spy Monitor 如 何 对 一 些 最 常 使 
用 的 程序 进行 监控 。 监 控 浏 览 过 的 网 站 的 具体 操作 步骤 如 下 。 


STEPO1: 单 击 主 窗口 中 的 Start Monitor 按 钮 


| ^ à Real Spy MonilLur Bulk] 2.93 
i Powerful PC Spy-Monitorng-Security Software — Monitorng Status: Not Active 


Options PC Activity 


me B 
rtup Settings 0 Keystrokes Log 


Email \ FTP Delivery ul 
m Sat Erral \ FTP Delvery | 


Screen Spy E 
Record snapshots activity 0 App 


Hotkey Choice im 22 

SaL your own hotkey o x —— 

Content Filtering e Files\ Docs Accessed f 

Fiter User's Activitys 0 Files Logged YxHoO! Mall A ( Help ) 
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弹出 密码 输入 对 话 框 ， 输 入 正确 的 密码 ， 单 击 OK 按钮 。 


STEP02: 查看 注意 信息 


Stealth Mode Notice: 


Real Spy Monitor is now going to be in 
stealth mode.To bring Real Spy Monitor 
out of steal mode,press Ctrl--Alt--S5 on 
your keyboard. 


[. Do not show me this message again. 


在 认真 阅读 注意 信息 后 ， 单 击 OK 按钮 。 


STEPO3: 使 用 三 浏览 器 随便 浏览 一 些 网 站 


A,h Real Spy Monitor Buld 2.93 
L Powerful PC Spy-Montoring-Securky Software — Monitoring Status: Not Active 


Options PC Activity Intenet Euttons 


General Setting Keystrokes Typed 
Startup Settings | N 22 Keystrokes Logged | WE 0 Conversations 


按 下 Ctrl+Alt+R 组 合 键 ， 在 密码 输入 对 话 框 中 
输入 所 设置 的 密码 ， 才 能 调 出 Real Spy Monitor 
主 窗口 ， 可 以 发 现 其 中 Websites Visited 项 下 已 


Logging Recorded 
Configure loggng options 


m Email \ FTP Delivery 
Set Erai | FTP Delvery 


aj Screen Spy A Programs Executed 2 Yahoo! Messenger WebMail ^ 
Record snapshots acovty 24 Application Logged 0 Conversapons 


Setting ) 有 T 计数 。 
& Ori a Avere Hinail » S | XL. mm M MN — AG 
Cum 此 处 计数 的 数字 为 37， 这 表示 共 打 开 了 37 个 网 


fb see eene! | "YAHOO! Mail 4 » | ce Man 
(eium Gmn : LER 页 。 然 后 单 击 Websites Visited 选项 。 
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STEP04: 打开 Report 窗 口 


-- = 可 在 Report 窗口 中 看 到 列表 里 的 37 个 网 址 。 这 
e» W Keystrokes TN = ME AED ga Ld e "mu | 显然 就 是 刚 刚 Real Spy Monitor 监控 到 使 用 IE DU 


k1 Metete Tanton Intanet URL Username ES TES 
Eeede ET a DO E | 监 器 打开 的 网 页 了 
http; flew bad CODE dus www | Dados Cu is... 2009-6- Di: 3l 
d 百度 一 下 ， 你 就 知道 -Microsoft nt... hitpu/www.bado.c.. Admin. 2003-6-12 9:01:04 | | 


BRRR "ure - Microsoft Internet... http/fwwwbadj.c..  Admne.. 2003-6-12 9:01:24 
nni LEES oun Irtomat Fico httpf/www.sna.co..  Admne.. 2003-6-12 9:01:43 | -一 
HR SuSPU- Mir. http:fjert.ana.com,,,, Admns.. 2003-6-12 9:02:01 | 不 
d uu KETFERRA ME KES.. htou/entonacom... Admne.. 2003-6-12 9:09:12 | 


| BOERNGK ARR] - Mir.. http/ent.snscom...  Admns... 2003-6-12 9:09:21 
Delete — | http; http ico. sins.com.cjent/s/h/2... http;fwiden.sins.co.. Adminis.. 2003-6-12 9:09:41 


ny BELEIR | 如 果 想 要 深入 查看 相应 网 页 是 什么 


me | | | 内容， 只 需要 双击 列表 中 的 网 址 ， 即 可 
Li | | BST IE 浏览 器 访问 相应 的 网 页 。 


Select item and press "Execute" te visit websites. 9o Set Listhox font Color Set Textbox font Color 


4 键盘 输入 内 容 监控 


对 键盘 输入 的 内 容 进 行 监控 通常 是 木马 做 的 事 ， 但 Real Spy Monitor 为 了 让 自身 的 监控 功能 变 得 更 加 强大 ， 也 提供 了 此 功 
能 。 其 针对 键盘 输入 内 容 进行 监控 的 具体 操作 步骤 如 下 。 


STEPO1: 使 用 键盘 输入 一 些 信 息 


Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monitoring-Securky Software Monitoring Status: Not Active 


Options PC Activity 00 
Lodo DE Wm coag 按 下 所 设 的 Ctrl+Alt+R 组 合 键 ， 在 密码 输 
ommo Recordes oY Websites Vetted, 100 Messenger 入 对 话 框 中 输入 所 设置 的 密码 调 出 Real Spy 
Monitor 主 窗口 ， 此 时 可 以 发 现 Keystrokes 
Typed 项 下 已 经 有 了 计数 。 
NM I-II T S e 
可 以 看 出 计数 的 数字 为 23， 这 表示 有 和 计数 
mm | B ooreo OAO 数字 相同 的 23 条 记录 。 然 后 单 击 Keystrokes 
FR UE AMOR aere | YAHOO! Mail: Typed 选项 。 


全 oe Windows Viewed AOL Messenger 
Set TS FTP 人 54 Windows Loggad 0 Conversations 
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STEPO2: 查看 记录 信息 


Repa oo0oU0 


Select what vou want to view: 


u^ y a Kaystrokes 4 Qua aloes 27 Programs zl e$ nasce 
y. 


| Wndows Title Username Time 
Execute | 7- — meepr LEA pe 2013/11/1 16:22.. 
mom Hasmik .doc - Mi... Admnitrator 2013/11/1 16:23... 
Tteless Windnws Ardmnistratnr 7013/11/1 15-24 
Tideless Windows Administrator 2013/11/1 16:24... 
2m paseta .doc -M.. Admnitrator 2013/11/1 18:25... 
s2m phetai .doc- M.. Admnirator 2013/11/1 18:26... 
sm pDBaaeid.dec-M.. Admnirator 2013/11/1 16:26... 
Program Manager Administrator 2013/11/1 16:27... 
mom Hasmik doc - Mi.. Admnitrator 2013/11/1 16:27... 
Tideless Windows Administrator 2013/11/1 18:27... 
Program Manager Admnixrator 2013/11/1 16:27... 
Emm AGP A. dar -Mi... Admnitrator 2013/11/1 16:78... 


Output 


4 


Press "Find" to search what you're interesting. 3 Set Listbox font Color Set Textbox font Color 


双击 其 中 任意 一 条 记录 。 


STEPO3: 打开 记事 本 窗口 


i| temptxt - 记事 本 

文件 (编辑 (E) 格式 [O) EEV) SH) 

徽 淘 淘宝 搜索 

4H] relative] relativett] relative 一 
Windows Internet Explorer 
(Administrator € 2013/11/1 17:14:06) 


[Enter] 


可 以 看 出 Administtator 用 户 在 某 日 、 某 时 、 某 输入 的 信息 。 


STEP04: 捕获 Cttl 类 快捷 键 


第 2 篇 ”扫描 与 反 扫 描 技 术 . doc 一 Microsoft 
Word (Administrator @ 2013/11/1 


16:57:55) 如 果 用 户 输入 了 Ctrl 类 的 快捷 键 ， 则 Real Spy 


Monitor 同样 也 可 以 捕获 到 。 


| ECtr1] [Alt] [Alt] [Alt] [Alt] [Alt] [Alt] 
[Alt][Alt][Alt] [Alt] [Alt] [Alt] [Alt] 


[A1t] [Alt] [Alt] [Alt] [Alt] [A1 t] [A1t] 
[Alt] [Alt] [Alt] [Alt] [Alt] [Alt] [Alt] [Alt] 


5. 程 序 执行 情况 监控 


如 果 想 知道 用 户 都 在 计算 机 中 运行 了 哪些 程序 ， 只 需 在 Real Spy Monitor 主 窗口 中 单 击 Programs Executed 项 的 图 标 ， 在 
弹出 的 Report 窗 口中 即 可 看 到 运行 的 程序 名 和 其 路 径 。 


am "Rene FE 
Select what vou want to view: 
IE C] [] [] 477 a [] C 
4 d Kaystrakes wWebstes undows c ' Programs (Snapshots Fies Doss 
; = ication Run Usemame | Start Time End Time a| 
Execute | Cprogram Fles\360\3605afe\safe... Adminetra... 2013/11/116:23... 2013/11/1 16:23... 
a C:\Program Files360436053feWSdfe。 Adminetra... 2013/11/1186:23.. 2013/11/1 16224... 
- | J |caProgram Fleskaen36üsafeVsafe... Administra... 2013/1171 16:24... | 
C:\Program Fileska6o36053fa Nara... Administra... 20:3/11/1168:4..  2013/11/1 16:24... 
Find CA Program FileskaGünV350SafeNsafa... Admingtra... 2013/11/116:24... 2013/11/1 16:24... 
CAwWindowslsystemazlsearchFiker... Adminitra... z013/11/116:27.. 2013/11/1 16:29... | 
em D:iReal Spy Maonitarlwinrsm.axa Admingtra.. 2013/11/1 16:27... 2013/]11/1 16:27... | 
D:\Real Spy Monitoreinrsm. axe Administra... 2013/11/116:27.. 2013/11/1 16:27... | 
Dekt C:Program AesySogoulnput Sogo. Adminstra... 2013/11/1 10:27.. 2013/11/1 16:28... 
C:\Program Files&&ogoulnputlya. 7. 0.3 Adminstra... 2013/11/1 16:27.. 2013/11/1 16:28... 
C:Program Filesv5agaulInputie. 7.0... Adminstra... 2013/11/1 15:28... 
(x) [Real 5nv Monitnrwnrmsm.exe Adminstra...  2013/11/^1 16:2... 
Resat 
Output 


34 


Select item and press "Execute" to start program. 


a 5et Listhox font Calor 


Programs Executed% Report £j v 


6. 即 时 截图 监控 


Set Textbox font Color 


可 以 通过 Real Spy Monitor 的 即时 截图 监控 功能 (默认 一 分 钟 截图 一 次 ) 来 查看 用 户 的 操作 历史 。 


监控 即时 截图 的 具体 操作 步骤 如 下 。 


STEPO1: 打开 Real Spy Monitor 主 窗口 


Real Spy Monitor Bulid 2.93 
Powerful PC Spy-Monirorn g-Secunty Software Monitorng Status: Not Active 


Options PC Activity Internet 


General Setting (iet Keystrokes Typed MSN Messenger 
Startup Settings 0 Keystrokes Logged | 0 Conversations 


Logging Recorded Websites Visited | ICQ Messenger 
Configure logong options 0 Wabstes Logged 0 Conversations 


Set Emal | FTP Delivery 0 Windows Logged 0 Conversations 


kp Email \ FTP Delivery Windows Viewed | AOL Messenger 


4; Screen Spy 1£ Programs Executed Yahoo! Messenger 
Record snapshots actMky — ^ a Application Logged . 0 Conversations 


| Hotkey Choice Screen Snapshots 
Set your own hotkey 0 Snapshots Logged 
Ao Content Filtering A Files\ 


| S Fiter User's Activitys 0 Files Log 


@ 2010 Designed By SharaStar Inc. 


单 击 Screen Snapshots 选项 。 


STEPO2: 查看 记录 的 操作 


D 
Select what vou want to view: 


ecol 


Windows Tkle Usemame | Time 
Execute | op paad.. Administrator 2013/11/1 16:26... 
"e Program Manager Administrator 2013/11/1 16:27... 

1 Program Manager Adminisrator 
" Tizeless Windows Administrator 2013/11/1 16:29... 
Find TO HeSkRHHHE.d... Adminisrator 2013/11/1 16:30... 
ARAWE Rea Spy M... Adminisrator 2013/11/1 16:31... 
(多 NON ESEA = Administrator 2013/11/1 16:22... 
mimm .d.. Adminisrstor 2013/11/ 


Cin LU inter. T 2013/11/1 


XEHELZ 3E RERAR... 
Fair - Windows Intemet ... 


Administrator 
Adrjnisc stor 
Adninizrator 


Date 


SEU - Windows Intemet Expldrer 
Admin &tracor 
2013/11/1 17:02:51 


Double Click item to View Snapshots 


(E tests 1." i Wnabs T Programs Le g Fles\Dors | | 


2013/11/1 16:28... | 


| 
1 16:33... 


2013/11/1 17:03... 
2013/11/1 17:04... 


E) Set Listbox font Color 


a 


Set lextbox font Calor 


可 看 到 Real Spy Monitor 记录 的 操作 ， 


开 其 中 任意 一 项 截图 记录 


STEP03: 以 Windows 图 片 和 传真 查看 器 查看 


BE Ut TXEKBR S99. RAER 
WESCE LEA tr TRETTEN A 
EESAN DP *nmmerecemnom 
WHB*tWiTR-5 FIDARE coul p NOS 
v BSeL—BEGLUSTINYA em ect t 
Hx PNAP Rum Ol CIF (ONCRS Y 


Lr | 更 多 


LBS Liab ai 
DAE. anmENCATE 
i S cT 
IHETITREIRIStERM 


Ew: 
PR- DUE mmu tor 
"ds na PEBH 
"3425- $80 I TRIB UHTA 
KSE: AEREAS UGF" 
DT- &RREUALTGA T 


(Urt nhe T 


AENT 


PSARNE NETE EIMNEUTOCME 


Ti MEET 4 PNR.: FR 

I vmpsk 人 wioams pt 

OISVOSIRT4ORT cEHS)UBE TES! 
EM UC 1 E ASE R nt AOA d 


双击 可 以 打 


IRAN.: "em" D HATEHISS 

WO IPSO STEEL SEHIITIPR 
pH Lo Fito FUSE WTERMOESERN 
irt na: SMETEH CUN 

TU dodo Aon imeem EHE 
So ELE 


*avMe09 AHALEAN 
ERL auo grey 
< B^f4dth 2" CITS 
AEREN fict EFAF 
SA BRRHATAS MMF ET mE 
iw o CrHoetulbrs SAONE tE ai uuu 
GE wwroteu me SRA Wt, 
FU Wrist i een ipee ME 
EET LE PETRI 


indurrtei arci Commercial Sen of Cung Unreed Fi ICEC aee Pig dans OESTE UNE. 


可 以 看 到 所 截 的 图 。 


显然 ，Real Spy Monitor 的 功能 是 极其 强大 的 ， 使 用 它 对 系统 进行 监控 ， 网 管 将 会 轻松 很 多 ， 在 一 定 程序 上 将 会 给 网 管 监 
控 系 统 中 是 否 有 黑客 入 侵 带 来 极 大 方便 。 


第 6 章 ”病毒 攻防 技术 


普 助 一 款 黑客 工具 无 疑 可 以 使 其 “ 攻 城 略 机 ” 变 得 事半功倍 。 其 实在 众多 黑客 攻击 方式 中 ， 病 毒 无 疑 是 黑客 们 的 “至 爱 ”。 
本 章 主要 讲述 几 种 病毒 的 入 侵 与 防范 方法 ， 有 助 于 读者 有 效 地 防范 计算 机 病毒 。 


6.1 SARA] 


目前 计算 机 病毒 在 形式 上 越 来 越 难以 辨别 ， 造 成 的 危害 也 日 益 严重 ， 所 以 要 求 网 络 防毒 产品 在 技术 上 更 先进 ， 功 能 上 更 全 


面 。 


6.2 ”两 种 简 蛙 病毒 的 生成 与 防 学 


病毒 的 编写 是 一 种 高 深 技术 ， 真 正 的 病毒 一 般 都 具有 传染 性 、 隐 藏 性 、 破 坏 性 。Restart 病 毒 和 U 盘 病毒 是 两 种 常见 的 病 


毒 ， 了 解 了 病毒 的 生成 方法 与 传播 方式 ， 才 能 够 更 好 地 对 病毒 进行 预防 。 


63 了解 脚 本 病毒 及 其 安全 防范 


脚本 病毒 通常 是 用 JavaScript 代 码 编写 的 恶意 代码 ， 一 般 带 有 广告 性 质 ， 会 修改 IE 首 页 和 注册 表 等 信息 。 脚 本 病毒 前 缀 是 
Script， 共 同 点 是 使 用 脚本 语言 编写 ， 通 过 网 页 进行 的 传播 ， 如 红色 代码 (Script.Redlof) 。 脚 本 病毒 还 会 有 其 他 前 缀 表明 其 是 
用 何 种 脚本 编写 的 ， 如 “欢乐 时 光 ” (VBS.Happytime) 、“ 十 四 日 ” (JS.Fortnight.c.s) 等 。 只 有 了 解 了 脚本 病毒 的 特点 及 
生成 过 程 ， 才 能 更 好 地 对 该 病毒 做 好 防范 。 


6.4 4$ 


与 传统 的 病毒 不 同 ， 蠕 虫 病毒 以 计算 机 为 载体 ， 以 网 络 为 攻击 对 象 。 网 络 蠕虫 病毒 可 分 为 利用 系统 级 别 漏 洞 (主动 传播 ) 和 


利用 社会 工程 学 (欺骗 传播 ) 两 种 。 在 宽带 网 络 迅速 普及 的 今天 ， 蠕 虫 病毒 在 技术 上 已 经 能 够 成 熟地 利用 各 种 网 络 资源 进行 传 
播 。 所 以 了 解 蠕虫 病毒 的 特点 并 做 好 防范 非常 有 必要 。 


6.5 ”杀毒 软件 的 使 用 


6.5.1 ”使 用 免费 的 防火 墙 Zone Alarm 


ZoneAlarm 强 大 的 双向 防火 墙 能 够 监控 个 人 计算 机 和 互联 网 传 入 / 传 出 的 流量 ， 能 够 阻止 黑客 进入 一 台 计 算 机 发 动 攻击 并 窃 
取信 息 。 同 时 ，ZoneAlarm 强 大 的 反 病毒 引擎 可 检测 和 阻止 病毒 、 间 谍 软 件 、 特 洛 仇 木马、 蠕虫 、 僵 尸 和 rootkit。 


下 面 介 绍 ZoneAlarm 的 使 用 ， 具 体操 作 步 又 如 下 。 


STEP01: 运行 ZoneAlatm 主 程序 


rA ZoneAlarn 


ZONEALARM 


Free Antivirus + Firewall uas - — 


€ ANTIVIRUS ERE FIREWALL ( IDENTITY & DATA 
Protected Protected U^ Protected 


Tour conputer is protected Traffic to and|frox your Tour computer is protected 
fron viruses and spyware. computer is nofitored for from nalicious zitez 
suspicious beh[vior. mttempting to steal your 
identity and data. 


单 击 FIREWALL (防火墙 ) 图 标 。 


STEPO2: 打开 防火 墙 界面 


ZONEALARM S| Check Point 
Free Antivirus + Firewal 


Bean Update Tune-up Tools Help 


Basic Firewall 


Application Control 
Bicoks dangrfrous bersviors end authorized Internet transmissions 


1. Žž H ON 按钮 开启 2. 单 击 access attempts 
防火 墙 功 能 。 blocked 链接 。 


STEPO3: 防火 墙 设置 


Alert Evente Shown 


iD High 


iB wadium Shor cnlr high rated 


alerte. 


Hvent Logging 


i n 
D QFE 


Event logging iz enabled. 


Proeram LorrimE 
C! Hieh 
ùD Medium 
Dgr 


Log oniy high ratei program alerta. 


设 定 警 报 级 别 、 是 否 开启 事件 日 志 以 及 程序 警报 日 志 级 别 。 


STEP04: 返回 主 界面 


ZONEALARM 
Free Antivirus + Firewal 


5| Check Point 


Scan Update Tune-up Tools Hein 


ANTIVI IUS 
Protected 


Your computer is protected 
from viruses and zpywarr. 


FIREWALL 


Protected 


se 


Traffic to and feon your 
computer is nonitored for 
auspicious behavior. 


IDENTITY 8 DATA 
Protected 


Tour computar is protected 
frox nsliciaus zitez 


attenpting to steal your 
identity and data. 


单 击 ANTIVIRUS (病毒 防护 ) 图 标 。 


STEP05: 病毒 防护 设置 


ZONEALARM 
Free Antivirus + Firewal 


VA YOUR CONPUTER IS SECURE 


us! 


WIKEWALL 


£e | ANTIVIRUS v] ] 


iviruc k Anti-cprwaro 
etects end removes spyware and viruses. 
89 virus(es) have been detected! 


a Real-time Protection 


[amies | 
[ksenon] 


E Antivirus Nov 21, Nov zB, 2013 
Scan 2013 


Antivirus Today at Todar et 
a Updato 09:24 AX 04.17 PX Update Now 


[| IDENTITY è DATA 


Scan Results 


0 filez scanned 
E9 virusles) found 
ii fil 


(pois 


tings 


第 7 章 ”木马 攻防 技术 


选择 开启 病毒 防护 功能 。 


本 章 主 要 介绍 木马 攻击 的 技巧 ， 其 中 包括 : 木马 的 伪装 手段 、 捆 绑 木 马 及 木马 清除 工具 的 使 用 等 ， 可 有 效 地 帮助 用 户 避 免 自 
己 的 计算 机 中 木马 ， 从 而 保护 系统 的 安全 性 。 


7.1 认识 木马 


木马 与 计算 机 网 络 中 常用 的 远程 控制 软件 有 些 相似 ， 通 过 一 段 特定 的 程序 (木马 程序 ) 来 控制 另 一 台 计 算 机 ， 从 而 窃取 用 户 


资料 ， 破 坏 用 户 的 计算 机 系统 等 。 


7.2. 木马 的 伪 六 与 生成 


黑客 们 往往 会 使 用 多 种 方法 来 伪装 木马 ， 降 低 用 户 的 警惕 性 ， 从 而 实现 欺骗 目的 。 为 了 让 用 户 执行 木马 程序 ， 黑 客 需 通 过 各 


种 方式 对 木马 进行 伪装 ， 如 伪装 成 了 网页、 图片、 电子 书 等 。 了 解 黑客 伪装 木马 的 各 种 方式 ， 可 避免 上 当 受 骗 。 


7.3 ABRAS 


加 壳 就 是 将 一 个 可 执行 程序 中 的 各 种 资源 ， 包 括 exe.dll 等 文件 进行 压缩 。 压 缩 后 的 可 执行 文件 依然 可 以 正确 运行 ， 运 行 前 先 
在 内 存 中 将 各 种 资源 解压 缩 ， 再 调 入 资源 执行 程序 。 加 壳 后 的 文件 就 变 小 了 ， 而 且 文 件 的 运行 代码 已 经 发 生变 化 ， 从 而 避免 被 木 
马 查 杀 软件 扫描 出 来 并 查 杀 。 加 壳 后 的 木马 也 可 通过 专业 软件 查看 是 否 加 壳 成 功 。 脱 壳 正 好 与 加 过 相反 ， 指 脱 掉 加 在 木马 外 面 的 
壳 ， 脱 壳 后 的 木马 很 易 被 杀毒 软件 扫 拉 并 查 杀 。 


74 ”木马 清除 软件 的 使 用 


如 果 对 发 现 的 木马 病毒 不 了 解 ， 要 想 确 定 木马 的 名 称 、 入 侵 端口 、 隐 藏 位 置 和 清除 方法 等 就 非常 困难 ， 这 时 就 需要 使 用 木马 
清除 软件 清除 木马 。 


第 8 章 ”系统 漏洞 攻防 


随 着 Windows 的 广泛 使 用 ,不断 有 新 的 漏洞 被 用 户 发 现 ， 微 软 也 不 断 推 出 新 的 修补 程序 和 安全 加 密 程序 。 但 用 户 未必 知 道 
所 有 的 系统 漏洞 该 如 何 修补 ， 这 就 给 黑客 以 可 乘 之 机 。 


8.1 系统 漏洞 基础 知识 


系统 漏洞 也 称 安全 缺陷 ， 这 些 安全 缺陷 会 被 技术 高 低 不 等 的 入 侵 者 所 利用 ， 从 而 达到 控制 目标 主机 或 造成 一 些 更 具 破 坏 性 的 
目的 。 


82 Windows 服 务 器 系统 入 侵 曝 光 


Windows 服 务 器 系统 包括 一 个 全 面 、 集 成 的 基础 结构 ， 旨 在 满足 开发 人 员 和 信息 技术 专业 人 员 的 要 求 。 此 系统 设计 用 于 运 
行 特定 的 程序 和 解决 方案 ， 借 助 这 些 程序 和 解决 方案 ， 信 息 工 作 人 员 可 以 快速 便捷 地 获取 、 分 析 和 共享 信息 。 入 侵 者 对 
Windows 服 务 器 系统 的 攻击 主要 是 针对 11S 服 务 器 和 组 网 协议 的 攻击 。 


83 ”DcomRpc 漏 洞 入 侵 曝 光 


DcomRpc 漏 洞 往往 是 利用 溢出 工具 来 完成 入 侵 的 。 其 实 “ 溢 出 ”入 侵 在 一 定 程度 上 也 可 看 成 系统 内 的 “间谍 程序 ”， 它 对 
黑客 们 的 入 侵 一 呼 即 应 ， 一 应 即将 所 有 权限 拱手 让 出 。 认 识 DcomRpc 漏 洞 入 侵 手 段 ， 可 以 更 好 地 做 好 计算 机 安全 防护 。 


8.4 用 MBSA 检 测 系统 漏洞 


Microsoft 基 准 安全 分 析 器 (Microsoft Baseline Security Analyzer, MBSA) 工具 允许 用 户 扫描 一 台 或 多 台 基 于 Windows 
的 计算 机 ， 并 检查 操作 系统 和 已 安装 的 其 他 组 件 (如 IIS 和 SQL Server) ， 以 发 现 安全 方面 的 配置 错误 ， 并 及 时 通过 推荐 的 安全 
更 新 进行 修补 。 


85 (Windows Update 修 复 系统 漏洞 


Windows Update 是 一 个 基于 网 络 的 Microsoft Windows 操 作 系 统 的 软件 更 新 服务 。Windows Update 能 够 提供 一 个 下 载 
紧急 系统 组 件 更 新 、 服 务 升级 包 (Service Packs) 、 安 全 修补 程序 (Security fixes) 、 补 丁 以 及 选 定 的 Windows 组 件 免费 更 
新 ， 保 证 系统 更 加 安全 、 稳 定 。 


下 面 来 介绍 使 用 Windows Update 修 复 系统 漏洞 的 具体 步骤 。 


STEP01: 打开 “控制 面板 ”窗口 


单 击 Windows Update 链接 。 


STEPO2: Windows 3& 37 


GOE « FELEN » Windows Update — - [6 


ruat 


[zen wan sav Iam wen 00 


Windows Update 


单 击 页 面 左 侧 的 “检查 更 新 ”链接 。 


STEPO3: 选择 重要 更 新 补丁 


— EE 
OE Mn s weienueiee -| 
| xfi» ME SEV IAM 9E 


Windows Update 


安装 计算 机 的 更 新 


Premsa: E 18:00 

安 关 现 闲 的 时 辣 : ER 20:20 (5894). EERSEÉOSIUX 

"Um. SAF Windows PRESES Microsoft 
Updste 的 产品 


单 击 “2 个 重要 更 新 可 用 ”。 


STEP04: 选择 要 安装 的 补丁 


- 


选择 希望 安装 的 更 新 


适用 于 Windows 7 的 
重要 (3) Offce 2003 (1) Internet Explorer 11 


区 Microsoft Office File Validation Add-in Internet Explorer 11, 在 


— Windows 7 (2) 


C kA 
Vi 


[^ RET Windows 7 8E Microsoft .NET Framework 4.5.1 [KB... 53.0 MB 
Office 2007 (1) 
[V Microsoft Office fle Validation Add-in 1.9 MB 


1. 勾 选 需要 安装 的 更 新 复 选 框 。 2. 单 击 ME 按钮 


STEP05: 开始 安装 更 新 


Windows Update 


[* EH AUB OE: 
2^mEES 可 用 已 选择 1 MESES. 
42 个 可 选 更 新 可 是 19 MB 


返回 上 一 界面 ， 单 击 “ 安 装 更 新 ”按钮 。 


STEP06: 正在 准备 安装 


Windows Update 


EPERRA... 


ERREARI. 


Buni$meeERSETEL 今天 13:12 

DAP HT BI 昨天 20:29 (X90). 查 志 更 夭亡 史记 录 

Tel. 2AF Windows PIEPERS Microsoft 
Update 的 产品 


单 击 “ 立 即 重新 启动 ”按钮 ， 对 计算 机 进行 重 
启 。 重 启 过 程 中 计算 机 会 自动 安装 漏洞 补丁 ， 
切 匆 中途 断 电 或 关闭 计算 机 。 


第 9 章 ”手机 黑客 攻防 


在 智能 手机 已 经 十 分 普及 并 且 仍 在 不 断 发 展 的 今天 ， 手 机 安全 已 经 成 为 逐渐 要 注意 的 问题 。 手 机 中 病毒 、 信 息 被 窍 取 、 手 机 
支付 出 现 问题 、 账 号 密码 被 盗 等 问题 ， 严 重 威胁 到 用 户 财产 的 安全 ， 所 以 我 们 对 手机 安全 也 应 高 度 重视 。 


9.1 _ 初 识 手 机 黑客 


纵 观 当今 的 互联 网 业界 ， 病 毒 、 木 马 泛滥 ， 各 种 病毒 变 体 花样 百出 ， 恶 意 攻击 手段 层出不穷 。 下 面 我 们 对 智能 手机 操作 系统 
及 常见 的 手机 攻击 类 型 进行 简要 介绍 。 


92 手机 黑客 基础 知识 


安 卓 手机 Root 与 苹果 手机 “越狱 ”后 ， 可 以 使 手机 具有 更 多 的 功能 ， 但 是 经 过 Root 与 越狱 后 的 手机 也 会 便于 很 多 恶意 程序 
窃取 信息 甚至 是 破坏 硬件 。 本 节 将 详细 介绍 获取 Android Root 权限 、Android 手 机 备份 功能 、 安 卓 系统 刷机 、 苹 果 手 机 “ 越 


狱 ”等 内 容 。 


9.3 手机 病毒 与 木马 攻防 


手机 病毒 是 一 种 具有 传染 性 、 破 坏 性 的 手机 程序 ， 可 用 杀毒 软件 进行 清除 与 查 杀 ， 也 可 以 手动 卸载 。 其 可 利用 发 送 短信 、 彩 
信 ， 电 子 邮 件 ， 浏 览 网 站 ， 下 载 铃声 ， 蓝 牙 等 方式 进行 传播 ， 会 导致 用 户 手 机 有 死机、 关机、 个 人 资料 被 删 、 向 外 发 送 垃圾 邮件 汇 
露 个 人 信息 、 自 动 拨打 电话 、 发 短 (K) 信 等 进行 恶意 扣 费 ， 甚 至 会 损毁 SIM 卡 、 芯 片 等 硬件 ， 导 致 用 户 无 法 正常 使 用 手机 。 


木马 与 一 般 的 病毒 不 同 ， 它 不 会 自我 繁殖 ， 也 并 不 “刻意 ”地 去 感染 其 他 文件 ， 它 将 自身 伪装 吸引 用 户 下 载 执行 ， 向 施 种 木 
马 者 提供 打开 被 种 手机 的 门户 ， 使 施 种 者 可 以 任意 毁坏 、 窃 取 被 种 手机 中 的 文件 。 


9.4 手机 监 牙 攻击 曝光 


蓝牙 是 一 种 支持 设备 短 距 离 通 信 的 无 线 电 技术 ， 一 般 通信 距离 在 10m 以 内 ， 能 在 包括 移动 电话 、PDA、 无 线 耳机 、 笔 记 本 
电脑 、 相 关外 设 之 间 进 行 无 线 信息 交换 。 利 用 “蓝牙 ”技术 ， 能 够 有 效 地 简化 移动 通信 终端 设备 之 间 的 通信 ， 也 能 够 简化 设备 与 
Internet 之 间 的 通信 ， 从 而 使 数据 传输 变 得 更 加 迅速 高 效 。 蓝 牙 采 用 分 散 式 网 络 结构 ， 以 及 快 跳 频 和 短 包 技术 ， 支 持 点 对 点 及 点 
对 多 点 通信 ， 工 作 在 全 球 通用 的 2.4GHz ISM ( 即 工 业 、 科 学 、 医 学 ) 频段 ， 其 数据 速率 为 1Mbps。 采 用 时 分 双 工 传输 方案 实现 
全 双 工 传输 。 


9.5 ”手机 拒绝 服务 攻击 曝光 


拒绝 服务 攻击 即 攻 击 者 想 办 法 让 目标 手机 停止 提供 服务 ， 是 黑客 常用 的 攻击 手段 之 一 。 攻 击 者 进行 拒绝 服务 攻击 ， 实 际 上 是 
要 实现 两 种 效果 : 一 是 迫使 服务 器 的 缓冲 区 满 ， 不 能 接收 新 的 请 求 ; 二 是 使 用 IP 欺 骗 ， 人 迫使 服务 器 把 合法 用 户 的 连接 复位 ， 影 响 


合法 用 户 的 连接 操作 。 


9.6 手机 电子 邮件 攻击 曝光 

电子 邮件 攻击 是 目前 商业 应 用 最 多 的 一 种 商业 攻击 ， 也 将 它 称 为 邮件 炸弹 攻击 ， 就 是 对 一 个 或 多 个 邮箱 发 送 大 量 的 邮件 ， 使 
网 络 流量 加 大 ， 占 用 处 理 器 时 间 ， 消 耗 系统 资源 ， 从 而 使 系统 竣 刻 。 目 前 有 许多 邮件 炸弹 软件 ， 虽 然 它们 的 操作 有 所 不 同 ， 成 功 
率 也 不 稳定 ， 但 是 有 一 点 就 是 它们 可 以 隐藏 自己 不 被 发 现 。 
9.7 手机 加 密 技术 

现在 用 户 手机 内 的 私人 资料 都 很 多 ， 为 了 帮助 用 户 很 好 地 保护 自己 手机 中 的 隐私 ， 本 节 将 详细 介绍 手机 开机 密码 设置 ， 以 及 
解密 、 手 机 短信 与 照片 加 密 方法 。 
9.8 Zeiss ys 

手机 支付 也 称 为 移动 支付 (Mobile Payment) ， 是 指 允许 移动 用 户 使 用 其 移动 终端 (通常 是 手机 ) 对 所 消费 的 商品 或 服务 
进行 账 务 支付 的 一 种 服务 方式 。 继 卡 类 支付 、 网 络 支付 后 ， 手 机 支付 全 然 成 为 新 穹 。 
9.9 手机 优化 及 安全 性 能 的 提升 


9.9.1 360 手 机 卫士 


360 手 机 卫士 是 一 款 完 全 免费 的 手机 安全 软件 。 


它 有 以 下 几 个 主要 功能 : 


1) 有 效 拦 截 垃 圾 短信 和 骚扰 电话 ， 让 手机 不 受 打扰 。 

2) 联网 云 查 杀 恶 意 软 件 ， 实 时 监控 软件 安装 和 联网 ， 彻 底 杜绝 恶意 扣 费 侵害 。 
3) 加 密 重要 联系 人 的 通讯 记录 ， 防 止 个 人 隐私 泄漏 。 

4) 系统 一 键 清理 ， 轻 松 为 手机 运行 加 速 。 

5) 归属 地 显示 和 查询 ， 自 动 加 拨 IP 节 约 话费 ， 无 痕 短 信 。 


众多 功能 不 仅 为 用 户 带 来 全 方位 的 手机 安全 及 隐私 保护 ， 也 让 用 户 使 用 手机 更 加 方便 快捷 。 
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Q 清理 加 束 O) 话费 流量 


分 
手机 体检 gis @ 
立即 优化 : 
2360 --FIUnD-T 隐私 空间 
我 的 手机 我 做 主 


O avum (3) mma 
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第 10 章 ”WiFi 攻防 


无 线路 由 器 已 经 越 来 越 普及 ， 大 多 数 用 笔记 本 电脑 或 者 用 手机 的 人 ， 都 希望 能 直接 用 WiF 连接 上 网 ， 不 仅 方 便 ， 而 且 省 流 
量 。 但 是 ， 很 多 刚 接触 无 线路 由 器 的 人 ， 都 不 知道 无 线路 由 器 怎么 用 。 本 章 可 以 让 用 户 了 解 无 线路 由 器 的 基本 设置 ， 常 见 无 线 密 
码 破解 方法 ， 以 及 无 线路 由 器 的 安全 维护 等 内 容 。 


10.1 无 线路 由 器 基本 设置 


下 面 我 们 以 较为 普遍 的 TP-Link 无 线路 由 器 为 例 来 介绍 怎样 设置 无 线路 由 器 。 


10.2 ”傻瓜 式 破 解 WiFi 密 码 曝 光 及 防范 


“WiFi 万 能 钥匙 ”是 一 款 常见 的 破解 周围 公共 WiFi 密 码 的 软件 ， 此 方法 是 利用 WiFi 特 征 匹 配 来 查看 已 共享 的 WiFi 信 息 ， 以 
实现 破解 目地 。 


10.3 “Linux 下 利用 抓 包 破 解 WiFi 密 码 曝光 


实现 破解 周围 WiFi 密 码 的 方式 有 许多 种 。 下 面 曝光 一 种 强力 破解 WiFi 密 码 的 方法 : 在 Linux 下 利用 抓 包 来 破解 周围 WiFi 密 
码 。 


10.4 无 线路 由 器 安全 设置 


现在 无 线路 由 器 的 广泛 使 用 ,被 “ 蹲 网 ”的 现象 也 屡见不鲜 。 大 多 网 络 入 侵 都 是 因为 无 线路 由 器 没有 进行 相应 的 安全 设置 而 
引发 的 。 下 面 介绍 几 种 的 基本 的 安全 设置 方法 ， 可 以 帮 你 远离 大 部 分 的 “ 蹲 网 ”干扰 。 


第 11 章 Windows 系 统 编程 基础 


虽然 黑客 可 以 借助 越 来 越 多 的 工具 实现 某 种 目的 的 入 侵 ， 然 而 要 想 成 为 一 名 高 级 黑客 ， 是 不 会 仅仅 满足 于 使 用 别人 所 编制 出 
来 的 工具 。 本 章 简单 介绍 了 一 些 通过 编程 实现 攻击 的 原理 和 方法 ， 以 供 学 习 揣 摩 之 用 。 同 时 希望 可 以 给 读者 采取 防御 措施 提供 一 
些 有 用 的 启示 。 


1 1 .1 了 解 黑 客 =] 与 编程 


编程 是 每 一 个 黑客 所 应 该 具备 的 最 基本 的 技能 ， 但 黑客 与 程序 员 又 是 不 同 的 。 黑 客 往往 掌握 着 许多 种 程序 语言 的 精 丹 (或 说 
是 弱点 与 漏洞 ) ， 并 且 黑 客 们 都 是 以 独立 于 任何 程序 语言 之 上 的 概括 性 观念 来 思考 程序 设计 上 的 问题 的 。 


11.2 网络 通 信 编 程 


网 络 对 于 黑客 来 说 起 着 非常 重要 的 作用 ， 因 为 网 络 是 黑客 存在 的 重要 平台 。 正 是 因为 网 络 的 出 现 ， 才 有 黑客 技术 的 迅猛 发 
展 。 所 以 网 络 通信 编程 也 是 广大 黑客 迷 非 常 热爱 的 技术 之 一 。 


11.3 ”文件 操作 编程 


很 多 黑客 工具 都 需要 对 文件 进行 操作 ， 如 清除 日 志 工 具 就 需要 对 文件 进行 删除 操作 ， 加 人 花 指 令 的 程序 就 需要 对 文件 进 


操作 ， 木 马 后 门 需要 对 自身 文件 进行 复制 等 操作 ， 所 以 文件 操作 编程 是 编写 黑客 工具 必须 要 掌握 的 编程 技术 。 


11.4 注册 表 编 程 


注册 表 对 于 Windows 系 统 至 关 重 要 ，Windows 操 作 系统 的 注册 表 中 包含 了 有 关 计 算 机 运行 方式 的 配置 信息 ， 其 中 包括 
Windows 操 作 系 统 配置 信息 、 硬 件 配置 信息 、 软 件 配置 信息 、 用 户 环境 配置 信息 等 。 当 然 ， 在 黑客 编程 中 注册 表 编 程 也 是 至 关 
重要 的 ， 可 以 更 改 很 多 系统 的 配置 ， 如 开启 远程 终端 、 把 某 些 程 序 密码 存放 在 注册 表 中 、 修 改 注册 表 以 实现 自 启动 。 注 册 表 编程 
的 具体 流程 如 图 所 示 。 


调用 RegCreaateKeyEx 
图 数 打 开 注 册 表 


利用 句柄 调用 
RegSetValueEx 利用 子 键 句 柄 调用 


和 RegQueryEx RegDelete 删 除 键 值 
设置 和 读 取 键 值 


调用 RegCloseKey 调用 RegCloseKey 
图 数 关闭 子 键 句 柄 PROS A T RE) 


注册 表 编 程 流程 


【注意 】 


在 “注册 表 编辑 器 ”窗口 中 左边 类 似 文件 夹 的 东西 就 是 注册 表 中 的 键 ， 键 值 就 是 右边 窗口 中 显示 的 文件 。 根 键 就 是 最 顶层 的 
键 ， 可 以 将 其 看 作 盘 符 。 


文件 (F) ”编辑 (E) ESV) 收藏 夫 (A) ”帮助 (H) 
4 调 | 计算 机 类 型 
Je HKEY CLASSES ROOT ab) (Bf REG SZ (数值 未 设置 ) 
a- J} HKEY CURRENT USER Default User ID REG, SZ (01F1C626-051C-43D8-AFF2- 
»-«J& AppEvents füldentityLogin ^ REG DWORD 0x00098053 (622675) 
-出 Console Identity Ordinal REG DWORD 0x00000002 (2) 
p- Contro! Panel Last UserID ^ REG SZ (01F1C626-051C-43D8-AFF2- 
Ji Environment |Last Username REG SZ 主 标识 
Migrated7 REG_DWORD 0x00000001 (1) 


键 值 


| RemoteAccess 
i " S-1-5-21-1728124532-1908955518-415464. 
> -BD Software 


a visions AN 


< ua mm 


计算 机 \HKEY_CURRENT_USERVIdentities 


注册 表 中 的 键 、 根 键 以 及 键 值 


不 难看 出 ， 在 进行 所 有 操作 前 必须 先 调用 RegCreateKeyEx 国 数 或 RegOpen KeyEx 函 数 创 建 或 打开 注册 表 子 键 ， 在 返回 子 
键 句柄 后 利用 该 句柄 才 可 进行 一 系列 操作 。 由 于 RegCreate KeyEx 函 数 既 可 以 打开 注册 表 子 键 ， 也 可 以 创建 注册 表 子 键 ， 而 
RegOpenKeyEx 函 数 只 能 打开 注册 表 子 键 ， 所 以 这 里 介绍 RegCreateKeyEx 函 数 。 其 具体 格式 如 下 : 


Long RegCreateKeyEx( 

HKEY hkey, 

LPCTSTR IpSubRey, 

DWORD Reserved, 

LPTSTR IpClass, 

DWORD dwOptions, 

REGSAM samDesired, 

,PSECURITY ATTRIBUTES IpSecurityAttributes, 
PHKEY phkResult, 
LPDWORD IpdwDisposition); 


其 中 各 个 参数 的 具体 含义 如 下 。 
 hkey: 指向 一 个 打开 键 的 句柄 ， 可 以 由 RegCreateEx 函 数 或 RegOpenKeyEx 函 数 返 回 ， 也 可 以 是 注册 表 的 根 键 。 
` IpSubKey: 指向 要 打开 子 键 的 名 称 。 
` Reserved: 保留 未 使 用 ， 设 置 为 0 即 可 。 
` IpClass: 指向 一 个 类 名 ， 一 般 设置 为 0。 


: dwOptions: 表示 创建 子 键 选 项 ，REG_OPTION_NON_VOLATLE 表 示 信 息 被 保存 在 文件 中 ， 重 启 计 算 机 后 保留 设置 。 而 
REG_OPTION_VOLATILE 表 示 信 息 被 保存 在 内 存 中 ， 重 启 计 算 机 后 失效 。 


:samDesired: 用 于 表示 子 键 的 打开 方式 ， 子 键 的 打开 方式 有 很 多 种 ， 经 常 可 以 组 合 使 用 。 
: IpSecurityAttributes: 指定 键 和 句柄 的 继承 性 。 
: phkResult: 用 于 返回 创建 或 打开 的 子 键 的 句柄 。 


: IpdwDisposition: 指定 当 子 键 不 存在 时 是 否 要 创建 子 键 。 其 值 为 REG_CREATED_NEW_KEY 表 示 当 子 键 不 存在 时 创建 子 
键 ， 如 果 存 在 则 打开 子 键 ; 而 为 REG_OPE NED_EXISTING_KEY 时 ， 则 表示 子 键 存在 时 打开 它 ， 不 存在 时 不 创建 子 键 。 


该 函数 调用 成 功 则 会 返回 ERROR_SUCCESS， 且 在 lpSubKey 参 数 中 装 入 子 键 的 有 效 句柄 ， 否 则 返回 一 个 非 零 值 。 
【注意 】 


与 RegCteateKeyEx 函 数 所 对 应 的 是 RegDeleteKey 函 数 ， 其 作用 是 实现 删除 注册 表 子 键 。 它 有 两 个 参数 ， 与 RegCtreateKeyEx 前 
) g ) 


两 个 参数 相同 。 如 果 该 函数 调用 程序 则 会 返回 ERROR_SUCCESS， 否 则 返回 一 个 非 零 值 。 


在 创建 或 打开 键 值 后 ， 需 要 通过 RegQueryValueEx 和 RegSetValueEx 函 数 来 读 取 和 设置 键 值 ， 这 两 个 参数 的 具体 格式 如 
下 : 


LONG RegQueryValueEx( 

HKEY hKey, 

CTSTR lpValueName, 
DWORD lpReserved, 


LP 
LP 
LPDWORD lpType, 
LP 
LP 


BYTE lpData, 
DWORD lpcbData); 


LONG RegSetValueEx( 
HKEY hKey, // 注册 键 句 柄 

LPCTSTR lpValueName, 

DWORD Reserved, 

DWORD dwType, 

CONST BYTE *lpData, 

DWORD cbData); 


其 中 各 个 参数 的 具体 含义 如 下 。 
: hKey: 该 参数 指向 一 个 有 效 的 子 键 的 句柄 ， 由 RegCreateKeyEx 函 数 的 phkResult 参 数 返 回 。 
` lpValueName: 要 读 取 和 设置 键 值 的 名 称 。 
` IpServered: 保留 参数 ， 一 般 设置 为 0。 
. ]pType: 要 读 取 和 设置 的 键 值 的 数据 类 型 。 
- lpData: 要 读 取 和 写 入 数据 的 缓冲 区 。 
: ]pcbData/cbdata: 缓冲 区 的 长 度 。 


如 果 这 两 个 函数 调用 成 功 ， 会 返回 ERROR_SUCCESs， 否 则 就 会 返回 一 个 非 零 值 。 在 操作 结束 时 ， 需 要 调用 RegCloseKey 
函数 来 天 闭 子 键 句 柄 。 该 函数 只 有 一 个 参数 Hkey， 它 指向 一 个 子 键 的 句柄 ， 由 RegCreateEx 函 数 的 phkResult 参 数 返回 。 


下 面 可 以 对 注册 表 进 行 读 写 操作 了 (下 面 是 两 个 设置 注册 表 键 值 的 函数 ) ， 具 体内 容 如 下 : 


void CreateStringReg (HKEY hRoot,char *szSubKey,char* ValueName,char *Data) 
// 用 于 修改 字符 串 类 型 键 值 
{ 
HKEY hKey; 
long lRet-RegCreateKeyEx (hRoot, szSubKey, 0, NULL, REG OPTION NON VOLATILE, 


KEY ALL ACCESS, NULL, &hKey, NULL) ; // 打开 注册 表 键 ， 不 存在 则 创建 它 
if (1Ret!=ERROR SUCCESS) 


printf ("error no RegCreateKeyEx %s\n",szSubKey); 
return; 


lRet-RegSetValueEx (hKey, ValueName, 0, REG SZ, (BYTE*) Data, strlen(Data)); 
// 修改 注册 表 键 值 ， 没 有 则 创建 它 


if(lRet!-ERROR SUCCESS) 


printf ("error no RegSetValueEx $sMn",ValueName); 
return; 


RegCloseKey (hKey) ; 


其 中 hRoot 人 参数 指向 一 项 打开 键 的 句柄 或 根 键 ;szSubKey 参 数 表示 要 打开 子 键 的 名 称 ; ValueName 是 要 设置 的 键 值 名 称 ; 
data 参 数 指向 要 写 入 数据 的 缓冲 区 。 


如 果 要 实现 删除 注册 表 键 值 的 功能 ， 可 以 使 用 RegDeleteValue 函 数 来 实现 。 该 函数 的 具体 格式 如 下 : 


Long RegDeleteValue( 
HKEY hkey, 
LPCTSTR IpValueName, ) 


其 中 包含 hkey 和 IlpValueName 两 个 参数 ， 其 具体 作用 如 下 。 
: hKey: 指向 一 个 有 效 的 子 键 的 句柄 ， 由 RegCteateKeyEx 函 数 的 phkResult 参 数 返回 。 
: IpValueName: 要 删除 键 值 的 名 称 。 


下 面 介绍 如 何 通 过 注册 表 编 程 来 实现 修改 |E 主 页 。 由 于 IE 主页 的 URL 是 保存 在 注册 表 中 的 ， 其 具体 路 径 是 
HKEY CURRENT USERVSoftwareMicrosoftWInternet ExploreMainNStart Page。 所 以 只 要 是 修改 了 注册 表 就 可 以 修改 IE 
主页 。 其 具体 内 容 如 下 : 


#include "stdafx.h" 

#include <stdio.h> 

void CreateStringReg (HKEY hRoot,char *szSubKey,char* ValueName,char *Data) 

// 用 于 修改 字符 串 类 型 键 值 
{ 


HKEY hKey; 
long lRet-RegCreateKeyEx (hRoot, szSubKey, 0,NULL,REG OPTION NON VOLATILE, 
KEY ALL ACCESS, NULL, &hKey, NULL); // 打开 注册 表 键 ， 不 存在 则 创建 它 


if(lRet!—ERROR SUCCESS) 


printf ("error no RegCreateKeyEx $sMn",szSubKey); 
return; 


lRet-RegSetValueEx (hKey, ValueName,0,REG SZ, (BYTE*) Data, strlen(Data)); 
// 修改 注册 表 键 值 ， 没 有 则 创建 它 


if(lRet!-ERROR SUCCESS) 


printf ("error no RegSetValueEx $sMn",ValueName); 
return; 


RegCloseKey (hKey) ; 
} 
int APIENTRY WinMain (HINSTANCE hInstance, 
HINSTANCE hPrevInstance, 
LPSTR lpCmdLine, 
int nCmdShow) 


char StartPage[255]-"http://www.sina.com/"; // 要 修改 成 的 网 址 

CreateStringReg (HKEY CURRENT USER,"Software\\Microsoft\\Internet ExplorerWMain", 
"Start Page",StartPage); // 调用 修改 字符 串 类 型 键 值 的 函数 

return 0; 


运行 上 述 程 序 ， 即 可 将 本 地 计算 机 的 IE 主 页 设置 为 http://www.sina.com/。 


11.5 ”进程 和 线程 编程 


进程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 当 运行 一 个 程序 时 ， 就 启动 了 一 个 进程 。 在 Windows 系 统 下 ， 进 程 又 被 细 化 为 线 
程 ， 也 就 是 一 个 进程 下 有 多 个 能 独立 运行 的 更 小 的 单位 。 进 程 和 线程 是 操作 系统 中 最 基本 、 最 重要 的 概念 。 


第 12 章 ”局 域 网 攻防 


目前 黑客 利用 各 种 专门 攻击 局 域 网 工具 对 局 域 网 进行 攻击 ， 鉴 于 此 ， 本 章 向 用 户 介绍 黑客 常用 的 局 域 网 攻击 工具 ， 读 者 可 以 
详细 了 解 这 些 工具 的 使 用 方法 ， 以 做 好 安全 防护 。 


12.1 局 域 网 安全 概述 


目前 越 来 越 多 的 企业 建立 自己 的 局 域 网 ， 以 实现 企业 信息 资源 共享 或 者 在 局 域 网 上 运行 各 类 业务 系统 。 随 着 企业 局 域 网 应 用 
范围 的 扩大 ， 保 存 和 传输 的 关键 数据 增多 ， 局 域 网 的 安全 性 问题 显得 日 益 突 出 。 


12.2 ” ARP 欺骗 与 防御 


在 局 域 网 中 ， 网 络 中 实际 传输 的 是 “ 帧 ”， 帧 里 面 有 目标 主机 的 MAC 地 址 。 这 个 目标 MAC 地 址 是 通过 地 址 解析 协议 获得 
的 。 所 谓 “ 地 址 解析 ”就 是 主机 在 发 送 帧 前 将 目标 IP 地 址 转换 成 目标 MAC 地 址 的 过 程 。ARP 协 议 (Address Resolution 
Protocol， 地 址 解析 协议 ) 的 基本 功能 就 是 通过 目标 设备 的 IP 地 址 ， 查 询 目 标 设备 的 MAC 地 址 ， 以 保证 通信 的 顺利 进行 。 


ARP 协 议 主要 负责 将 局 域 网 中 的 32 位 IP 地 址 转换 为 对 应 的 48 位 物理 地 址 ， 即 网 卡 的 MAC 地 址 ， 如 IP 地 址 位 192.168.0.9， 网 
卡 MAC 地 址 为 00-1E-8C-17-B0-85。 整 个 转换 过 程 是 一 台 主 机 先 向 目标 主机 发 送 包含 有 IP 地 址 和 MAC 地 址 的 数据 包 ， 再 通过 
MAC 地 址 连接 两 个 主机 ， 就 可 以 实现 数据 传输 了 。 


12.3” 绑 定 MAC 防 御 IP 冲 突 攻击 


MAC (Media Access Control, 介质 访问 控制 )》 地 址 是 网 卡 的 身份 标识 ， 是 烧 录 在 网 卡 中 的 MAC 地 址 ， 也 叫 硬 件 地 址 ， 
是 由 48 位 长 (6 字 节 ) 的 十 六 进 制 的 数字 组 成 的 。 其 中 0~23 位 由 厂家 自己 分 配 ， 而 24~47 位 是 组 织 唯一 标志 符 ， 用 来 识别 


LAN (局 域 网 ) 节点 的 标识 。 第 40 位 是 组 播 地 址 标志 位 ， 只 要 不 去 更 改 自 己 的 MAC 地 址 ， 则 MAC 地 址 就 是 唯一 的 。 


12.4 局域网 助手 攻击 与 防御 


局 域 网 助手 LanHelper 专 门 为 高 效率 的 局 域 网 管理 而 设计 ， 同 时 不 需要 任何 服务 端 软 件 ， 具 有 智能 而 快速 的 扫描 引擎 ， 可 按 
IP 范 围 或 工作 组 扫描 整个 网 络 ， 扫 描 信息 包括 IP 地 址 、MAC 地 址 、SNMP、NetBIOS、 工 作 组 名 称 、 当 前 用 户 名 称 、 操 作 系 统 
类 型 、 共 享 文件 夹 等 。 支 持 数据 导入 导出 ， 还 提供 XML 和 HTML 查 看 模式 ， 便 于 在 浏览 器 中 查看 。 


“远程 开机 ”功能 可 以 给 位 于 局 域 网 或 广域网 上 的 计算 机 发 送 唤醒 命令 ， 而 使 其 自动 加 电 启动 。“ 远 程 关机 ”功能 让 系统 管 
理 员 可 通过 局 域 网 关闭 或 重启 远程 计算 机 。 “远程 执行 ”功能 可 以 在 远程 机 器 上 执行 命令 ， 运 行程 序 或 打开 文件 。 


执行 “LanHelper 集 成 命令 ”功能 ， 则 可 以 让 远程 计算 机 完成 诸如 锁定 计算 机 、 锁 定 鼠 标 和 键盘 ， 或 定时 截取 屏幕 、 杀 进程 
等 操作 。 “刷新 状态 ”可 用 于 定时 监视 网 络 ， 查 看 计算 机 是 否 在 线 ， 以 及 检测 计算 机 名 或 者 |P 地 址 是 否 有 改动 ， 当 指定 事件 发 生 
时 能 够 以 电子 邮件 等 方式 通知 管理 员 。 “发 送 消息 ”可 以 用 非常 灵活 的 方式 给 用 户 、 计 算 机 、 工 作 组 或 整个 局 域 网 发 送 网 络 消 
息 。“ 服 务 ”功能 用 于 Windows 系 统 的 服务 管理 ， 可 查看 服务 ， 启 动 停止 服务 或 远程 安装 服务 等 。LanHelper 中 的 各 种 操作 都 
提供 实时 日 志 ， 可 帮助 网 络 管理 员 分 析 和 解决 网 络 问题 。 


使 用 局 域 网 助手 的 具体 操作 步骤 如 下 。 


STEPO1: 打开 LanHelpet 主 窗口 


Engu- nA D 


Domain Controller.. 
Scan LAN 

Scan Workgroups... 
Add Machine.. 


Security Credentials... 


Explore Computer 

Access IP 

Explore Share 

Map Network Drive 
Disconnect Network Drive 


依次 单 击 Netwo 全 一 Scan Ip 菜 单项 。 


STEPO2: 打开 Scan IP 对 话 框 


Auto set ranges according to local IP 
(€) C Class C)B Class 


Local IP: 192.168.174.1 | 


[C] Skip ping (Can find hidden targets behind firewall but will slow down scan) 


设置 要 扫描 的 IP 范 围 ， 同 时 设置 其 他 扫描 属性 ， 单 击 Start Scan 按钮 。 


STEPO3: 查看 扫描 结果 


x 


r 


File Edit View Network Tools NT-Udlties Help 


e-HkY-|2-299482-cos8c&oSgm-ueos 


os Server 


| name Status MAC Workgroup User 
MIR WN-O3GA.. aive  — 192163.1741 


扫 拖 结果 。 


扫描 结果 。 


STEP04: 查看 主 窗口 


m 


Lar 


File Edit View| N k| Tools NT-Utilities Help 


Domain Controller.. 


Scan IPL c gpgSgmusmu- ue 


Scan Workgroups. 
Add Machine.. 


Security Credentials... 
Explore Computer 
Access IP 

Explore Share 

Map Network Drwe 
Disconnect Network Drive 


依次 单 击 Netwotk 一 Scan LAN 菜 单项 。 


STEP05: 扫描 整个 局 域 网 上 的 计算 机 


— x 


e-aüamgrY- $-9494$s9$ 2-crcgEmSCcoSS-ocS5 


Name Status IP 


lww-O3GA.. aive — 392.168.1741 
i-i 


4LSODTETP.. alive 192.158 1.15 


扫 换 结果 。 


STEP06: 查看 主 窗口 


E 


File Edit View| | k [Tools NT-Utliies Help 


Explore Share 
Map Network Dra 
Disconnect Metwork Drive 


x 
tamia: 3 [0/0] 


依次 单 击 Netwo 全 一 Scan Workgroup 3& X55. 


STEP07: 打开 Scan Wotkgroups 对 话 框 


在 Select wotkgtoups 列 表 中 选择 要 扫描 的 工作 组 之 后 ， 单 击 Statt Scan 按钮 。 


STEP08: 扫描 整个 工作 组 的 计算 机 


File Edit View Network Tools NT-Utilities Help 


e-auauü T- 4-299522 -cuEdSo9-2-0160 


192 168.174.1 
192 168.1.15 


扫描 结果 。 


STEP09: 查看 主 窗口 


依次 单 击 Tools 一 Options 菜 单项 。 


STEP10: 打开 Options 对 话 框 


[| Minimize to system tray 

[| |Run program at Windows startup 

[v^] Auto open the file last used at program startup 
[ ] Auto refresh status on file loading 


Enable logging 
Maximum log size (KB): 


Select character set for XML encoding: 


Delimiter for shared resources: 

[ ]Remove task if it is not scheduled to run again 

[V] Prompt me if any task being scheduled on program exit 

[ ]NT Utilities: Choose computer name instead of IP address to fill the computers list 


When pertorm the View xoc action 
Check for update | Every week v | 


对 LanHelper 的 相关 属性 进行 设置 。 


12.5 ”利用 “网 络 守 护 神 ”实现 网 络 管理 

“网 络 守 护 神 ” 主 要 针对 目前 国内 机 关 、 企 事业 单位 的 网 络 应 用 现状 ， 如 单位 总 出 口 带 宽 有 限 、 网 络 混用、 上 网 管理 不 严 等 
情况 ， 提 供 简单 、 快 捷 而 且 非 常 有 效 的 管理 功能 。 

使 用 “网 络 守 护 神 ”反击 攻击 者 的 具体 操作 步骤 如 下 。 


STEPO1: 启动 “网 络 守护 神 ” 


请 输入 新 网 段 名 称 : 


STE 


1. 首次 启动 时 会 弹出 “网 2. Sig  h— 
段 名 称 ” 对 话 框 ， 在 “请 输 步 ” 按 钮 。 

入 新 网 段 名 称 ” 文 本 框 中 输 

入 网 段 名 称 。 


STEPO2: 选择 接 入 公 网 类 型 


TGSIRRSS gSIP: 
vie ESSI: 


1. 选择 “路 由 器 (企业 路 由 器、 2. 单 击 “ 下 一 
宽带 路 由 器 等 ) 单 选 按钮 。 步 ”按钮 。 


STEP03: 选择 网 卡 


192. 168. 1. 10 
90:2B:34:09: TO: DD 
255. 255. 255.0 
192.168.1.1. 
8C:21:04A:89: AE: BB 


EEE) 


1. 选择 网 卡 并 查看 该 网 A Sd Fa 
卡 的 信息 。 按钮 。 


STEP04: 指定 网 段 范围 


网 段 起 始 地 址 : 
网 段 结束 地 址 : 


提示 : 
请 您 准确 和 输入 局 域 网 地 址 范围 ， 如 果 输 入 不 准确 或 者 范围 过 大 ， 可 能 会 最 和 向 
软件 性 能 ， 所 以 请 准确 葵 六 网 段 起 始 结束 地 址 。 


Cr-Em xm )|( 3 


1. 设置 IP 地 址 范围 ， 如 2. 单 击 “完成 ” 
192.168.0.1 ~ 192.168.0.255。 按钮 。 


STEP05: 监控 网 段 配 置 


| FR VLANI 新 建 监 控 浆 段 
"am [hj :192. 158.1.10, FA: 255. 255.255. 0 
| 编辑 监控 同 段 
是 | 除 监控 阿 段 


| meme | 


1 选中 要 监控 的 。 2. 单 击 “ 开 始 监控 ， 
网 段 。 按钮 。 


STEP06: 启动 网 络 守 护 神 服务 


一 一 一 一 一 一 一 -一 一 一 
sera apa 
Bo 


"uc 
Wo ov os m o» pir rm 


单 击 “信息 提示 ” 框 中 的 “是 ”按钮 。 


STEP07: 新 建 策 略 


| mon 
| Bee 
| BHO | 


单 击 “ 新 建 策略 ”按钮 。 


STEP08: 输入 策略 名 


TESI FRE SEE: 


1. 在 文本 框 中 输入 所 起 2. 单 击 “确定 
的 策略 名 。 fato 


STEPO9: 主机 带宽 设置 


启用 主机 公交 带宽 限制 
请 襄 定 被 控 主 机 上 行 带宽 限制 : 
请 识 定 被 控 主 机 下 行 带 宽 限 制 ; 


主机 带宽 智能 抑制 


S30 
V 启用 发 现 ?2 下 载 时 自动 限制 该 主机 带宽 功能 e 


请 设 定 老 现 P2F 下 载 时 该 主机 上 行囊 宽 限 制 : 
请 设 定 家 现 F2F 下 载 时 该 主机 下 行 市 高 限制 |; 


1. 根据 需求 选择 带宽 。 2. 单 击 “ 下 一 步 


STEP10: 流量 设置 


可 启用 主机 公 网 流量 限制 
e» 总 流量 限制 


请 设 定 区 HĒ: 流量 限制 : 
上 下 行 流量 限制 : 
请 设 定 千 日 上 传 流量 限制 : 
请 设 定 每 日 下 载 流量 限制 
主机 和 网 党 量 阶 制 避 在 二 第 略 所 设 定 的 时 间 范 围 内 生效 ， 如 果 在 第 略 所 设 定 的 


时 间 范 围 内 流量 超标 ， 系 统 将 会 自动 断 开 该 主机 的 公 网 这 接 。 而 对 于 被 控 主 机 在 
本 第 此 所 设 定 的 时 间 范 围 外 所 产生 的 流量 避 进 行 统计 ， 不 再 进行 自动 阴 断 。 


«E-be[r-km | 3 


1. 根据 需求 设置 流量 2,. 单 击 “ 下 一 
Bs bl] o 按钮 。 


STEP11: P2P 设 置 


(| 启用 F2F 下 载 限制 


一 -选中 后 将 拦截 被 控制 主机 F2F 下 载 流量 ， 如 果 您 想 控制 哪 种 F2F 下 载 工具 


请 在 下 面 的 列表 中 对 应 选中 。 


[全 部 选中 “| 全 部 取消 


1. 选择 对 具体 的 某 种 P2P FTR 
工具 进行 流量 限制 ， 比 如 电 又 、 
QQ 游戏 等 。 


STEP12: 普通 下 载 设置 


2 ue F 
步 ” 按 钮 。 


HITF 下 载 


启用 普通 HTTF 下 载 限制 ARIRE RA 
一 -选中 后 将 拦截 HTTP 下 载 文 件 ， 你 可 以 指定 需要 拦截 的 文件 后 绢 


FPT 


[7] 自用 FTP 下 载 限制 ”编辑 限制 文件 语句 名 | 


ARRET NBOCHE 


1. 启用 HTTP TRAM ”2. 单 击 “ 下 一 步 " 
FTP 下 载 限制 。 按钮 。 


STEP13: 时 间 设 置 


0:00 2:00 £00  &DO 8:00 10:00 12:00 14:00 16:00 18:00 20:00 22:00 24:00 
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1. 设 定 策略 所 控制 的 。 2. 单 击 “ 完 成 ， 
时 上 日 ES o FE EH " 


STEP14: 软件 性 能 设置 


托盘 图 标 设置 
e 显示 任务 栏 图 标 。 ”一 -选中 后 软件 最 小 估 时 使 用 系统 托盘 图 标 
日 BREED 一 -选中 后 欣 件 县 小 ftB 寺 隐藏， 使 用 热 键 
呼出 执 键 设置 
请 您 在 右 则 框 中 按 下 执 键 + 


EPRE 
CAERA URUGR ORE REM EEA 


1. 在 “网 络 守护 神 ” 主 窗口 中 2 对 软件 的 各 种 
单 击 “ 软 件 配置 ”图 标 。 性 能 进行 设置 。 


STEP15: IP-MAC 地 址 绑 定 设置 


1. 在 “网 络 守 护 神 ” 主 窗口 中 单 击 “ IP 绑 定 - 
图 标 。 


2. 勾 选 “启用 MAC-IP 地 址 绑 定 ” 复 选 框 ， 添 
加 MAC-IP 地 址 绑 定 。 


3. 单 击 “确定 ”按钮 。 


12.6 ”局域网 监控 工具 


利用 专门 的 局 域 网 查看 工具 来 查看 局 域 网 中 各 个 主机 的 信息 。 在 本 节 将 介绍 3 款 非 常 方便 实用 的 局 域 网 查看 工具 。 


98132: AJRA 


黑客 攻击 目标 主机 主要 是 为 了 获取 系统 账户 名 称 和 登录 密码 ， 从 而 以 系统 管理 员 的 身份 控制 目标 主机 系统 。 本 章 介绍 了 黑客 
攻防 中 各 种 获取 和 保护 账户 和 密码 的 方法 ， 以 及 系统 服务 后 门 的 创建 方法 。 


13.1 认识 后 门 


在 控制 一 台 服 务 器 后 给 其 安装 一 个 或 多 个 后 门 ， 可 实现 对 该 服务 器 进行 长 期 控制 。 例 如 ， 黑 客 可 能 使 用 密码 破解 一 个 或 多 个 
账号 密码 ， 可 能 会 建立 一 个 或 多 个 账号 。 一 个 黑客 可 存 取 这 个 系统 ， 黑 客 可 能 使 用 一 些 技术 或 利用 系统 的 某 个 漏洞 来 提升 管理 权 
限 。 


黑客 可 能 会 对 系统 的 配置 文件 进行 小 部 分 的 修改 ， 以 降低 系统 的 防卫 性 能 。 也 可 能 会 安装 一 个 木马 程序 ， 使 系统 打开 一 个 安 
全 漏洞 ， 以 利于 黑客 完全 掌握 系统 。 


132 ”账号 后 门 技术 曝光 


账号 后 门 是 黑客 在 第 一 次 入 侵 成 功 后 ， 在 远程 主机 内 部 建立 的 一 个 备用 管理 员 账 号 ， 以 便 用 管理 员 权 限 表 次 进入 该 系统 。 而 
这 个 账号 在 一 般 系统 管理 员 看 来 ， 只 拥有 user 组 的 权限 。 克 隆 账 号 就 是 把 系统 中 存在 的 某 一 个 账号 ， 设 置 为 拥有 系统 管理 员 权限 
的 账号 ， 克 隆 出 来 的 账号 无 法 用 “账号 管理 ”来 查 出 该 账号 的 真实 权限 。 因 此 ， 克 隆 账号 常 被 入 侵 者 作为 “后 门 账号 ”。 了 解 黑 
客 克 隆 账号 的 手法 ， 才 能 做 好 预防 工作 。 


13.3 “系统 服务 后 门 技术 曝光 


系统 服务 后 门 技术 是 指 在 黑客 成 功 入 侵 目 标 计算 机 后 ， 通 过 修改 Windows 系 统 中 的 服务 程序 来 制造 后 门 ， 便 于 黑客 能 够 在 
日 后 成 功 登录 目标 计算 机 。 通 过 修改 Windows 系 统 中 的 服务 不 会 被 杀毒 软件 所 察觉 。 了 解 黑客 创建 系统 服务 后 门 的 方式 ， 才 能 
更 好 地 发 现 自己 的 系统 中 是 否 存 在 后 门 ， 做 好 防范 工作 。 


13.4 ”检测 系统 中 的 后 门 程序 


后 门 是 在 黑客 已 成 功 入 侵 目 标 计 算 机 之 后 在 其 系统 中 创建 的 。 因 此 用 户 若 要 检测 系统 中 是 否 存 在 后 门 程 序 ， 就 需要 检测 系统 
中 的 进程 、 系 统 的 启动 信息 以 及 系统 开放 的 端口 等 信息 。 
1. 简 单 手工 检测 法 


凡是 后 门 必 然 要 隐蔽 其 藏身 之 所 ， 要 找到 这 些 程序 那 就 需要 仔细 查找 系统 中 每 个 可 能 存在 的 可 疑 之 处 ， 如 自 启 动 项 ， 据 不 完 
全 统计 ， 自 启动 项 目 有 近 80 多 种 。 


用 AutoRuns 检 查 系 统 启 动 项 。 观 察 可 疑 启 动 服务 及 可 疑 启动 程序 路 径 ， 如 一 些 常 见 系统 路 径 一 般 在 system32 下 ， 如 果 执 行 
路 径 中 在 非 系 统 的 system32 目 录 下 发 现 notepad、System、smss.exe、csrss.exe、winlogon.exe、services.exe、|sass.exe、 


spoolsv.exe 这 类 进程 中 的 2 个 ， 那 你 的 计算 机 很 可 能 已 经 中 毒 了 。 


如 果 是 网 页 后 门 程序 一 般 是 检查 最 近 被 修改 过 的 文件 ， 当 然 目 前 一 些 高 级 webshell 后 门 已 经 支持 更 改 自 身 创 建 时 间 来 迷惑 
管理 员 了 。 


2. 拥 有 反 向 连接 的 后 门 检测 


这 类 后 门 一 般 会 监听 某 个 指定 端口 ， 要 检查 这 类 后 门 需要 用 到 DOS 命 令 ， 在 没有 打开 任何 网 络 连接 页 面 和 防火 墙 的 情况 下 
输入 netstat-an， 监 听 本 地 开放 端口 ， 看 是 否 有 本 地 IP 连 接 外 网 IP。 


3. 无 连接 的 系统 后 门 


如 shift 放 大 镜 、 屏 保 后 门 ， 这 类 后 门 一 般 都 是 修改 了 系统 文件 ， 所 以 检测 这 类 后 门 的 方法 就 是 对 照 它们 的 MD5 值 ， 如 
sethc.exe (shift 后 门 ) 正常 用 加 密 工 具 检 测 的 数值 是 MD5: f09365c4d87098a209bd10d92e7a2bed， 如 果 数 值 不 等 于 这 个 就 
说 明 被 自 改 过 了 。 


4.CA 后 门 


CA 克隆 账号 这 样 的 后 门 建立 以 $ 为 后 缀 的 超级 管理 员 ， 在 DOS 下 无 法 查看 该 用 户 ， 用 户 组 管理 也 不 显示 该 用 户 ， 手 工 检查 
一 般 是 在 sam 里 删除 该 账号 键 值 。 当 然 要 小 心 ， 没 有 经 验 的 人 员 建 议 还 是 使 用 工具 。 当 然 CA 有 可 能 克隆 的 是 guest 账 户 ， 所 以 建 
议 服务 器 最 好 把 guest 账 户 设置 一 个 复杂 密码 。 


5.ICMP 后 门 
这 种 后 门 比较 罕见 ， 如 果 要 预防 只 有 在 默认 Windows 防 火 墙 中 设置 只 人 允许 ICMP 传 入 的 回 显 请 求 了 。 
6.rootkit 后 门 


这 类 后 门 隐 藏 得 比较 深 ， 从 一 篇 安全 焦点 的 文献 中 可 以 了 解 到 它 的 历史 也 非常 长 ，1989 年 发 现 首 例 在 UNIX 上 可 以 过 滤 自 己 
进程 被 ps-aux 命 令 查看 的 rootkit 和 雏形。 此 后 这 类 高 级 隐藏 工具 不 断 发 展 完善 ， 在 1994 年 被 成 功 运用 到 了 高 级 后 门 上 并 开始 流 
行 ， 一 直 保 持 着 后 门 技术 的 领先 地 位 ， 包 括 最 新 出 现 的 Boot Root 也 是 该 后 门 的 一 个 高 级 变种 。 为 了 抵御 这 类 高 级 后 门 ， 国 外 也 
相继 出 现 了 相关 查 杀 工具 。 例 如 : 荷兰 的 反 rootkit 的 工具 Gmer、Rootkit Unhooker 和 RKU， 都 可 以 检测 并 清除 这 些 包括 变种 
在 内 的 rootkit。 


第 14 草 ”远程 控制 技术 


本 章 具 体 介绍 几 个 远程 控制 的 攻击 实例 ， 如 使 用 “ 灰 鲍 子 ”“ 任 我 行 ” 软 件 、“ 远 控 王 ”远程 控制 计算 机 ， 使 用 “网 络 
人 ”进行 远程 控制 等 攻击 实例 。 


14.1 ”认识 远程 控制 


远程 控制 一 般 指 通过 网 络 控制 远 端 计算 机 。 当 操作 者 使 用 主 控 端 计算 机 控制 被 控 端 计 算 机 时 ， 就 如 同 坐 在 被 控 端 计算 机 的 屏 
幕 前 一 样 ， 可 以 启动 被 控 端 计算 机 的 应 用 程序 ， 可 以 使 用 或 穷 取 被 控 端 计算 机 的 文件 资料 ， 甚 至 可 以 利用 被 控 端 计算 机 的 外 部 打 
印 设备 (打印 机 ) 和 通信 设备 (调制 解 调 器 或 者 专线 等 ) 来 进行 打印 和 访问 外 网 和 内 网 ， 就 像 利用 遥控 器 遥控 电视 的 音量 、 变 换 
频道 或 者 开关 电视 机 一 样 。 


14.2 ”远程 桌面 连接 与 协助 


远程 桌面 采用 了 一 种 类 似 Telnet 的 技术 ， 远 程 桌面 连接 组 件 是 微软 公司 从 Windows 2000Server 开 始 提 供 的 ， 用 户 只 需 通 过 
简单 设置 即 可 开启 Windows XP. Windows 7 和 Windows 8 系统 下 的 远程 桌面 连接 功能 。 


当 某 台 计算 机 开局 了 远程 桌面 连接 功能 后 ， 其 他 用 户 就 可 以 在 网 络 的 另 一 端 控制 这 台 计 算 机 了 ， 可 以 在 该 计算 机 中 安装 软 
件 、 运 行程 序 ， 所 有 的 一 切 都 好 像 是 直接 在 该 计算 机 上 操作 一 样 。 通 过 该 功能 网 络 管理 员 可 以 在 家 中 安全 地 控制 单位 的 服务 器 ， 
而 且 由 于 该 功能 是 系统 内 置 的 ， 所 以 使 用 起 来 比 其 他 第 三 方 远程 控制 工具 更 方便 、 灵 活 。 


14.8 ”利用 “远程 控制 任 我 行 ”软件 进行 远程 控制 


“远程 控制 任 我 行 ”是 一 款 免费 、 绿 色 、 小 巧 且 拥 有 “ 正 向 连接 ”和 “ 反 向 连接 ”功能 的 远程 控制 软件 ， 能 够 让 用 户 得 心 应 
手 地 控制 远程 主机 ， 就 像 控制 自己 的 计算 机 一 样 。 该 软件 主要 有 远程 屏幕 监控 、 远 程 语音 视频 、 远 程 文件 管理 、 远 程 注册 表 操 
作 、 远 程 键 盘 记 录 、 主 机 上 线 通 知 、 远 程 命令 控制 和 远程 信息 发 送 等 功能 。 


14.4 ”用 WinShell 实 现 远 程控 制 


Winshell 是 一 个 运行 在 Windows 平 台 上 的 Telnet 服 务 器 软件 ， 主 程序 是 一 个 仪 仅 6K 大 小 的 exe 文 件 ， 可 完全 独立 执行 而 不 
依赖 于 任何 系统 动态 连接 库 。 尽 管 它 体 积 很 小 ， 功 能 却 很 强大 。 支 持 定制 端口 、 密 码 保护 、 多 用 户 登 录 、NT 服 务 方式 、 远 程 文 
件 下 载 、 信 息 自 定义 ， 以 及 独特 的 反 DDOS 等 功能 。 


145 用 QuicklP 进 行 多 点 控制 


如 果 想 尝试 一 下 “一 台 计 算 机 同时 管理 和 控制 多 台 计 算 机 、 多 台 计 算 机 也 同时 管理 一 台 计 算 机 ”这 样 的 “多 点 ” 控 
制 ，QuicklP 无 疑 是 一 个 很 好 选择 。QuicklP 可 用 于 服务 器 管理 、 远 程 资源 共享 、 网 吧 机 器 管理 、 远 程 办 公 、 远 程 教育 、 排 除 故 


障 、 远 程 监控 等 多 种 应 用 场合 。 


第 15 草 ”密码 攻防 


数据 的 加 密 技术 和 解密 技术 是 矛 与 盾 的 关系 ， 它 们 是 在 相互 斗争 中 发 展 起 来 的 ， 永 远 没 有 不 可 破解 的 加 密 技术 。 然 而 ， 一 般 
的 解密 技术 总 是 滞后 于 加 密 技术 ， 也 就 是 说 ， 一 般 的 解密 技术 总 是 针对 某 一 类 或 相关 加 密 技术 产生 的 。 


15.1 加 密 与 解密 基础 知识 


15.1.1. 认识 加 密 与 解密 


加 密 是 指 对 明文 进行 翻译 ， 使 用 不 同 的 算法 对 明文 以 代码 形式 实施 加 密 ， 加 密 后 的 内 容 会 成 为 一 段 不 可 读 的 代码 ， 通 常 称 
为 “ 密 文 ”。 简 单 来 说 就 是 ， 可 读 慌 或 可 以 直接 查看 的 信息 经 过 加 密 后 ， 需 要 输入 密码 才 可 以 查看 。 对 于 其 他 用 户 ， 即 使 获得 了 
已 加 密 的 信息 数据 ， 也 会 因为 没有 密码 而 无 法 打开 并 查看 信息 内 容 。 这 就 使 得 数据 信息 得 到 保护 ， 不 被 其 他 用 户 非 法 窃取 、 阅 


读 o 


解密 是 加 密 的 逆 过 程 ， 即 将 已 加 密 的 信息 转换 为 明文 ， 使 得 信息 数据 可 以 直接 阅读 的 过 程 。 


p 


15.2. 7 种 常见 的 加 密 解 密 类 


15.2.1 RAR 压缩 文件 


压缩 文件 也 是 在 日 常 操作 中 使 用 非常 多 的 ， 将 所 制作 的 文档 通过 压缩 软件 来 实施 加 密 ， 不 仅 可 以 减 小 磁盘 空间 ， 还 可 以 更 好 


地 保护 自己 的 文档 。 


1. 用 WinRAR 加 密 文件 


WinRAR 是 一 款 较 WinZip 出 版 晚 一 点 的 高 效 压缩 软件 ， 其 不 但 压缩 比 、 操 作 方 法 都 较 WinZip 优 越 ， 而 且 能 兼容 Zip 压 缩 广 
件 ， 可 以 支持 RAR、Zip、ARJ、CAB 等 多 种 压缩 格式 ， 并 且 可 以 在 压缩 文件 时 设置 密码 。 具 体 的 操作 步骤 如 下 。 


STEPO1: 准备 要 压缩 的 文件 
名 称 新 建 (N) 
St 打印 (p) 
Mi 常用 .d 
Bade] M 


管理 员 取 得 所 有 权 


B ”添加 到 "常用 .rar"(T) 
S ”压缩 并 E-mail... 


e ”压缩 到 "常用 ,rar" 并 E-mail 


O ”上传 到 百度 云 
自动 备份 到 百度 云 


A 通过 QQ 发 送 到 成 的 手机 
还 原 以 前 的 版 本 (V) 
发 送 到 (N) 


用 鼠标 右 击 需要 压缩 并 加 密 的 文件 ， 在 快捷 莱 单 
中 选取 “添加 a 到 压 纺 文 件 ” 选 项 。 


STEP02: 压缩 文件 名 和 参数 常规 设置 


更 新 方式 U) 
压缩 文件 格式 压缩 选项 
@RR RRS (ZIP 四 压缩 后 胜 除 源 文 件 种) 


同 创建 自 解 压 格式 压缩 文件 00 
压缩 方式 (C) 同 创 建 固 实 压 缩 文件 (5) 
标准 ” ”| v) ” 同 添 加 恢复 记录 () 
字典 大 小 Q2 C Mt EE RS PE CT) 
ace: ”| xz] CREER OO 


ES AO 


1. 设置 压缩 文件 的 名 称 2. 单 击 “设置 密码 ” 
及 压缩 格式 。 按钮 。 


STEP03: 输入 密码 


MATH (E) 


PPARA ATAA 0) 


显示 密码 (5) 
加 密 文件 名 N) 


| BHO... 


1. 输 入 密码 以 及 确认 密码 。 2. 单 击 “ 确 定 ”按钮 。 


STEP04: 生成 加 密 的 RAR 文 件 


;本 地 磁盘 (E) o Er B 计算 机 类 B ERE 


IR) 帮助 (H) 
电子 邮件 新 建文 件 去 


但 看 生成 的 .rar 文件 。 


2.RAR Password Recovery 


RAR Password Recovery 软 件 是 专 为 解除 RAR 压缩 文件 的 密码 而 制作 的 ， 其 操作 步骤 如 下 。 


运行 RAR Password Recovery 软 件 


Recovery 5.0 
Fie Name 
Nau mm 


Recovery — Brutedorce Dictionary Options 
Type of Attacks for Documents with Strong Encryption 
us 


ttack (Trying Nl Possible Combinations) 


Bue vath Mask Attack (1f Some Password Symbols are Known) 


1. Éi Open 按钮 ， 选 择 需要 解除 
密码 的 RAR 文件 。 


2. 选择 破解 方式 。 


3. 单 击 start 按钮 ， 即 可 开始 
破解 。 


15.3 ”文件 和 文件 夹 密码 攻防 


文件 和 文件 夹 是 计算 机 磁盘 空间 里 面 为 了 分 类 储存 电子 文件 而 建立 的 独立 路 径 的 目录 ，“ 文 件 夹 ”就 是 一 个 目录 名 称 。 文 件 
15.4 


夹 不 但 可 以 包含 文件 ， 而 且 可 包含 下 一 级 文件 夹 。 为 了 保护 文件 夹 的 安全 ， 还 需要 给 文件 或 文件 夹 加 密 。 
系统 密码 攻防 

15.4.1 利用 Windows 7PE 破 解 系统 登录 密码 

统 ， 含 有 GHOST、 硬 盘 分 区 


下 面 介绍 利用 Windows 7PE 破 解 系统 登录 密码 的 操作 方法 。 


Windows 7PE 是 一 款 可 安装 在 硬盘 、U 盘 中 的 软件 ， 它 可 以 为 用 户 提供 了 以 独立 于 本 地 操作 系统 的 临时 Windows 7 操作 系 
密码 破解 以 及 数据 恢复 等 功能 。Windows 7PE 之 所 以 有 这 么 多 功能 
STEP01: 选择 进入 BIOS 


那 是 因为 它 运 行 在 内 存 中 。 


Menory Frequency For DDRZ ee (Dual Channel Mode? 


SATA Channel 
SATA Channel 
ATA Charmel ， 
SATA Channel 
SATA Channel 
SATA Channel 


: Monme 
: Hone 
: S1J290620n3 J. HAK 
: Honc 
: None 
: Hone 


CHOS checksum error — Defaults loaded 


选择 进入 BIOS, 


STEP02: 选择 Advanced BIOS Features 


- 算 机 ， 当 显示 自 检 界 面 时 ， 按 Del 键 ， 


打开 BIOS 界面 ， 利 用 方向 键 选择 Advanced 
BIOS Features, fè Enter 键 。 


其 他 进入 BIOS 的 方法 
目前 市 场 上 常见 的 BIOS 并 非 只 有 一 种 ， 有 些 计算 机 在 开机 自 检 界面 中 会 显示 进入 BIOS 所 需要 按 的 热 键 ， 而 有 些 则 不 显示 进 
入 方法 。 对 于 不 显示 进入 方法 的 计算 机 ， 可 在 主板 说 明 书 中 查看 进入 BIOS 的 方法 ， 进 入 BIOS 的 方法 都 是 通过 按键 盘 上 的 某 一 个 


功能 键 实现 的 ， 常 用 的 按键 有 F2、Del、Esc 键 等 。 


3 : 选择 Hard Disk Boot Priority 


CHOS Setup Utility ~ Copyright (C) 1984-2889 
Advanced BIOS Features 


Hard Disk Boot Priority [Press Enter] 
First Boot Device [Hard Disk] 
Second Boot Device (USD-HDD] 


Third Boot Device [CDROM] 
Password Check [Setup] 
HDD S.M.A.R.T. Capability [Disabled] 
Linit CPUID Max. to 3 [Disabled] 
No-Execute Memory Protect [Enabled] 
CPU Enhanced Halt (CiE) [Enabled] 
CPU Thermal Monitor 2(TM2)[Enabled] 


选 $& Hard Disk Boot Priority Xx 3, £A A è 
Enter 键 。 


STEP04: 选择 USB-HDD 选 项 


CHOS Setup Utility ~ LOPUTIgnTY tU) 1364-C669 
Hard Disk Boot Priority 


i. USB-HDDGO : KingstonDataTraveler 2 
2. Ch8 N. : HDC HD3ZBB8RRJS- 88L7R8 
3. Bootable Add-in Cards 


选择 USB-HDD 选项 ， 然 后 按 + 键 ， 将 其 移 至 
最 顶端 。 


STEP05: 设置 从 硬盘 启动 


» Hard Disk Boot Priority [Press Enter] 
First Boot Device [Hard Disk] 
Second Boot Device [USB-HIID] 
Third Boot Device [CDROM] 
Password Check | —— 

HDD S$.M.A.R.T. Caf First Boot Device 


Linit CPUID Nax. 

No-Execute Memory| Floppy 
CPU Enhanced Halti LS128 

CPU Thermal Monit] Hard Disk 
CPU EIST Function 
Virtualization Te 

init Display Firs 


1. 选择 First Boot Device ”2. 选择 Hard Disk X 
后 按 Enter 键 。 项 ， 然 后 按 Enter 键 。 


STEP06: 选择 PE 工具 箱 


GRUD4DOS 6.4.5b 2618 86 023, Mem: 623018-5820H-80H, End: J4C7C7 


E l eas Agani PE | E33 
iuTp33f5IB[HiPEs;DOSg3t]x18», hE AAA, IE 


[01] ini PE LAH 


[82] MaxD0S Plus E^] 
[83] 从 硬盘 局 动 计算 机 
[£41 重新 启动 计生 机 


[65] 关闭 计算 机 


保存 BIOS 设置 后 重新 局 动 计 算 机 ， 计 算 机 自动 
从 U 盖 局 动 ， 在 界面 中 选择 “绝对 PE 工具 箱 ”， 
按 Enter 键 。 


【提示 】 保存 对 BIOS 设 置 所 做 的 更 改 


当 在 BIOS 中 完成 从 U 盘 启动 的 设置 后 ， 可 按 F10 键 ， 然 后 在 弹出 的 对 话 框 中 输入 Y 后 按 Entet 键 计算机 将 保存 对 BIOS 所 做 的 
设置 并 自动 重新 启动 。 


STEP07: 双击 “计算 机 ”图 标 


磁盘 碎片 整理 


程序 


-A 


打开 Windows 7 PE RRRA, XX “WAP” 
图 标 。 


STEP08: 更 改 Nattatot 文 件 名 


2HR ~ 


Jo REx 


d m 


"e 计算 机 


< 
[ Narrator0.exe 


1. 打开 System 32 文 2. 将 Narrator 文件 名 
件 夹 窗口 。 改 为 Narrator0。 


【提示 】 更 收文 件 名 的 常用 方法 


更 改 文件 名 的 常用 方法 主要 有 两 种 : 第 一 种 是 右 击 待 更 改 的 文件 选项 ， 在 弹出 的 快捷 菜单 中 单 击 “ 重 命名 ”命令 后 输入 新 的 
文件 名 ， 然 后 按 Enter 键 ; 第 二 种 是 选中 待 更 改 的 文件 选项 ， 按 F2 键 后 输入 新 的 文件 名 ， 然 后 按 Enter 键 。 


STEPO9: 更 改 cmd 文 件 名 


do ~ 计算 机 > 系统 保留 (C:) > Windows ~» System32 ~ 


HR- 回 打 开 ”新 建文 件 夹 
T RER 名 称 
Lm 


Ue 计算 机 


使 用 相同 的 方法 将 cmd 文 件 的 名 称 更 改 为 
narratoro 


STEP10: 单 击 “ 轻 松 访问 ”图 标 


找 下 U 盘 后 重启 计算 机 ， 在 系统 登录 界面 中 单 
击 左下 角 的 “轻松 访问 ”图 标 。 


STEP11: 选择 讲述 人 


O 去 松 访问 


使 计算 机 更 易于 使 用 
按 下 空 桥 键 选 择 高 亮 显 示 的 选项 


7) 朗读 屏幕 内 容 ( 讲 述 人 ) 


| 放大 屏幕 上 的 项 目 (放大 镜 ) 


高 色彩 对 比 度 下 查看 (高 对 比 度 ) 


1. 勾 选 “朗读 屏幕 内 容 2. 单 击 “确定 ” 按 
(GERA) 复 选 框 。 
STEP12: 利用 DOS 命 令 添加 账户 
C:\Windows\System32\Narrator.exe 
;法 在 消 恩 文件 中 为 Application 找到 闪电 号 为 @x2 


E de Microsoft it EMMAA 


文件 中 为 System 1551 EFG exs AJ 


G: br bri E user kane 123 /add 
SOREN. 


t A net user kane 123 /add 后 按 Enter $$, 7757) 
密码 为 123 的 账户 。 


为 新 账户 赋予 管理 员 权 限 


区 无 法 在 消 恩 文件 中 为 Application 找到 肖 恩 号 为 ex2358 的 六 


208 Microsoft mi err 保留 所 有 权 逢 | 。 
文件 中 为 System 153 prem 8x8 的 消息 文本 。 


C: Mindows\system32>net user kane 123 /add 


ap TARDI TEA o 


z: Windows 5system32>net localgroup administrators kane /ad 


命令 成 功 完成 。 


CG: Windows ^system32> 


输入 net localgroup administrators kane /add 后 按 
Enter 键 。 


1: 选择 新 创建 的 账户 


再 次 重启 计算 机 ， 可 看 见 创建 的 kane KA, 
单 击 该 账户 对 应 的 图 片 。 


【提示 】 


net localgroup administrators kane/add 是 指 将 名 称 为 kane 的 账户 添加 到 Administtatots 组 中 ， 让 其 成 为 管理 员 账 户 ， 这 样 一 来 ， 他 
可 以 直接 进入 操作 系统 ， 并 清除 其 他 账户 的 登录 密码 。 


STEP15: 输入 登录 密码 


EXER)" | 


i. 


1. 输入 该 账户 的 登录 密码 2. 单 击 “登录 ” 
155, 按钮 。 


STEP16: 成 功 进入 系统 


成 功 进入 系统 桌面 ， 至 此 可 以 说 是 成 功 地 绕 过 登录 密码 而 进入 操作 系统 。 


STEP17: 选择 用 户 账户 


OOB » semis > 所 有 控制 面板 项 ， - | 好 |] 2225 


调整 计算 机 的 设置 RE cmm 


US xe Eu 
B ueseurs 
PELA 


B EAR 


Od meum 


IE] 桌面 小 工具 


若 要 清除 指定 账户 的 密码 ， 则 在 “控制 面板 ” 窗 
口中 单 击 “ 用 户 账户 ”链接 。 


STEP18: 管理 其 他 账户 


更 改 用 户 帐 户 


EMEB 


Kane 
删除 密码 m 
更 改 图 片 


d 更 改 帐户 名 称 


@ 更 改 帐户 类 型 


更改 用 户 账户 ”界面 中 单 击 “ 管 理 其 他 账户 


o 


STEP19: 选择 要 清除 密码 的 账户 


JOa « Aee o eme 


选择 希望 更 改 的 帐户 


在 “选择 硕 望 更 改 的 账户 ”界面 中 选择 要 清除 
密码 的 账户 。 


STEP20: 删除 登录 密码 


更 改 John 的 帐户 
ERIKAS 


设置 家 长 控制 
更改 帐户 闫 型 
删除 帐户 

管理 其 他 帐户 


在 界面 中 单 击 “ 删 除 密码 ”链接 即 可 删除 该 账 
户 的 登录 密码 。 


15.5 ”其 他 加 密 解 密 工具 


“加 密 精灵 ”是 一 款 加 密 速度 极 快 且 功能 强大 的 国产 加 密 工 具 ， 可 用 于 加 密 任何 格式 的 文件 ， 几 乎 集成 了 当前 所 有 加 密 工 具 
的 功能 。 


其 加 密 的 具体 步骤 如 下 。 


STEP01: 运行 “加 密 精 灵 ” 应 用 程序 


mimo x 


一 选择 文件 夹 T 
文件 夹 路 径 [E (Program Files ETE 


M 密 | 


更 换 皮肤 | 高 级 | 注册 | 
已 加 密 文 件 夹 列表 [解密 时 点 击 文件 夹 路 径 项 , 则 选中 ] - 


A BG CIET fF S ISoarersoftstudio] 得 看 更 新 [5 T 


1. 单 击 “浏览 ”按钮 ， 2.560: "nA TES. 
选择 要 加 密 的 文件 。 


STEP02: 开始 加 密 


输入 密码 
确认 密码 


1. 输入 密码 ， 并 选择 2. 单 击 “提交 " 
加 密 类 型 。 按钮 。 


STEPO3: 加 密 完 成 


选择 文件 夹 

文件 来 路 径 [E:Wrogam Files = 
naj mmy] S5x]| j 解密 | 
-辅助 功能 区 
SESS] 更换 皮肤 | 高 级 | 注册 | 退出 | 


在 已 加 密 文件 夹 列表 中 可 以 查看 到 已 经 加 
密 的 文件 夹 。 


| m ] + 
53 XE T IER [Soarersoft studi) 查看 更 新 [关于 | 


« 
^ 


解密 的 过 程 与 加 密 过 程 相似 ， 步 骤 如 下 。 


STEP01: 打开 主 界面 S 


主 功能 区 
| 加 密 | 隐藏 | 伪装 | H e 
辅助 功能 区 一 一 
登陆 管理 | 更 换 皮 肤 | 高 级 | 
-已 加 密 文 件 夹 列 辜 [解密 时 点 击 文件 来 路 径 项 , 则 选中 ] 
VER — — 95s — ë em 
REIRE 


KIA tS E 
E:MProgram Files 2013-11-T 16:11 


f 3 CIE T fE S (Soarersoft studio] 查看 更 新 | |R- 


1. 单 击 “浏览 ”按钮 2. 单 击 工具 栏 上 的 “ 解 
选择 要 解密 的 文件 。 密 ” 按 钮 。 


TEP02: 开始 解密 


渝 入 密码 并 单 击 “提交 ”按钮 即 可 完成 


第 16 章 ”网 游 与 网 吧 攻 防 


由 于 网 吧 是 面向 社会 公众 开放 的 盈利 性 上 网 服务 场所 ， 用 户 可 利用 网 吧 进 行 网 页 浏览 、 网 游 、 聊 天 、 听 音乐 或 其 他 活动 。 针 
对 网 吧 的 这 一 特点 ， 一 些 黑客 在 网 吧 中 植 入 木马 ， 等 待 穷 取 下 一 位 使 用 该 计算 机 的 用 户 的 账号 和 密码 等 相关 信息 。 网 游玩 家 辛 辛 
苦 苦 地 通关 升级 ， 但 是 一 旦 网 游 账 号 和 密码 被 盗 ， 自 己 的 心血 就 要 付 诸 东 流 ， 而 这 些 东 西 是 金钱 买 不 到 的 。 


16.1 网游 盗 号 木马 曝光 


功能 强大 的 网 游资 号 木马 可 以 盗 取 多 款 网 络 游戏 的 账号 、 密 码 信息 。 这 类 病毒 文件 运行 后 会 衍生 相关 文件 至 系统 目录 下 ， 并 
修改 注册 表 生 成 启动 项 ， 通 过 注入 进程 可 以 设置 消息 监视 ， 截 获 用 户 的 账号 资料 ， 并 发 送 到 木马 种 植 者 指定 的 位 置 。 更 有 一 些 盗 
号 木马 会 把 游戏 账号 里 的 装备 记录 下 来 一 起 发 送 给 木马 种 植 者 。 


16.2 ”解读 网 站 充值 其 骗术 


在 玩 网 络 游戏 过 程 中 ， 有 的 玩家 需要 用 金钱 来 买 更 精良 的 装备 ， 就 需要 在 相应 充值 功能 区 使 用 现实 金钱 换取 游戏 中 的 点 数 。 
针对 这 种 情况 ， 一 些 黑客 就 模拟 游戏 厂商 界面 或 在 游戏 界面 中 添加 一 些 具 有 诱惑 性 的 广告 信息 ， 以 诱惑 用 户 前 往 充 值 ， 从 而 骗取 
钱财 。 


16.3 ” 防 光 游戏 账号 破解 


使 用 暴力 破解 网 游 账 号 和 密码 主要 是 利用 专门 暴力 破解 密码 工具 进行 破解 ， 这 些 工具 主要 采用 穷 举 法 逐个 尝试 并 破解 网 游 的 
账号 和 密码 ， 虽 然 破解 过 程 比 较 慢 ， 但 是 还 是 可 以 进行 破解 。 所 以 游戏 玩家 应 该 在 玩 游戏 的 过 程 中 保护 好 自己 的 账号 和 密码 ， 防 
止 账号 被 破 线 。 


16.4 警惕 局 域 网 监听 


目前 ， 局 域 网 中 多 数 采 用 的 是 广播 方式 ， 在 广播 域 中 可 以 监听 到 所 有 的 信息 报 。 这 样 在 局 域 网 中 进行 网 络 游戏 ， 则 黑客 就 可 
以 通过 对 信息 包 进 行 分 析 ， 来 窃取 局 域 网 上 传输 的 一 些 游戏 账号 和 密码 信息 。 现 在 很 多 黑客 都 会 把 局 域 网 扫描 与 监听 作为 入 侵 之 
前 的 准备 工作 。 和 凭借 这 种 方式 ， 黑 客 可 以 获得 用 户 名 、 密 码 等 重要 的 信息 ， 还 可 以 监听 别人 发 送 的 邮件 内 容 、 即 时 聊天 信息 、 访 
问 网 页 的 内 容 等 。 因 此 ， 如 果 被 黑客 进行 监听 的 话 ， 将 会 给 企业 的 带 来 巨大 的 损失 ， 所 以 要 和 警惕 局 域 网 的 监听 。 


16.5” 美 滋 网 管 大 师 


“ 美 萍 网管 大 师 ” 软 件 集 实时 计时 、 计 费 、 计 账 于 一 体 ， 是 一 款 网 吧 管 理 员 必 不 可 少 的 工具 。 该 工具 既 可 单独 作为 网 吧 的 计 
费 管理 机 ， 可 配合 安全 卫士 远程 控制 整个 网 络 内 的 所 有 计算 机 ， 也 可 对 任意 机 器 进行 开通 、 停 止 、 限 时 、 关 机 、 热 启动 等 操作 ， 
并 且 具 有 会 员 管 理 、 网 吧 商 品 管理 、 每 日 费用 统计 等 众多 功能 。 


使 用 “ 美 萍 网 管 大 师 ” 软 件 管理 网 吧 中 计算 机 的 具体 操作 步骤 如 下 。 


STEP01: 打开 “ 美 萍 网 管 大 师 ” 主 窗口 


(SmE WRDZE RUD putes 


* [UN A | ci 
计时 开机 。 限时 开机 结 由 停止 | 运程 关机 [aste ium: 
机 号 [WS Eck | 

未 知 


号 13:43:07 


14 2 D 03 DH DJ 04 23 D3 04 IX DJ 04 I) 0) 03 


| 
occoccocccocccocc 
occoccocdccoccoacco 


| yti, soeben] 当前 管理 品 : systen 


选择 一 合计 算 机 (这 里 选择 1 号 计算 机 )， 单 击 
工具 栏 中 “远程 关机 ”按钮 。 


STEP02: 查看 提示 信息 


单 击 “ 是 ”按钮 ， 即 可 关闭 1 号 计算 机 。 


STEPO3: 返回 主 窗口 


v 18 mE 
计时 开机 限时 开机 半幅 停止 ”远程 关机 A 


是 13:43:07 


01 号 灿 


已 用 时 :0 
总 商用 :0.0 
x$48$:0.ü 


| 
T 


4 
CEE- E-J- aaa a a a 


十 


14 D DX 03 D3 DX 04 23 24 04 294 D 04 IH 13 03 6 


SER CIE RS o 


STEP04: 打开 “信息 ”对 话 框 


输入 系统 密码 ， 并 单 击 “确定 ”按钮 。 


STEP05: 打开 “ 美 萍 软件 设置 ”对 话 框 


记录 Jim Hë |en | 商品 | 
|| 
| THESE onite | 上 网 程序 设备 | emm | 
zB NE E wE TeoBHSTS | 


HAHP ”元 /每 小 时 - RW | 


gepess[o në mgcuesesw i 元 钱 中 pf 证 的 开机 费用 ) 


当前 时 间 区 为 最 小 计 魂 时 间 单 位 的 co els na TS) 


最 小 计 牙 时 间 单 位 I T) xm 上 机 对 间 小 于 | d A EBEPET UI Hn S FE 


F 当 限 时 或 会 员 乘 I5 妆 钟 妇 元 时 向 客户 机 老 出 提示 信息 


El scs pat. | 


i XxmuDEHIPUREBIBITE SE HET. ETAF: Windows WEDIAIhe Hicri EI 


p mss | $ 存盘 返回 | 


“会 员 计 费 ”等 属性 进行 设置 。 


在 “ 计 费 ”选项 卡 中 可 对 “ 计 费 标准 ” “分 时 段 计 费 ”“ 上 网 程序 设置 ” 


STEP06: 切换 至 “设置 ”选项 卡 


记录 | 管理 “| 商 
mei | ers | 
TuS 


M iadwzEzhiBzhiEUIE je pist hiie tAE 

此 网 阁 机 器 总 台数 为 2。 al eng 

网 管 对 磁卡 条 玛 卡 的 响应 时 间 是 ec 2] xw 人 条 清高 加 选项 

容 户 机 状 坊 闪 应 时 间 下 | 种 PEENIS HL DR LES RA E AR) 


可 对 密码 和 系统 设置 的 各 个 属性 进行 设置 。 


STEP07: 切换 至 “记录 ”选项 卡 


prem |8 |a | 
历史 记录 


Mansi 


VH sine Hp ma (o iUo doe BRER GS oem | 


“ 探 作 历史 记录 


以 系统 意 理 员 身 份 查 看 操作 万 史记 录 ， 可 柿 除 记 列 。 苹 操作 历史 记录 | 


网 站 历史 记录 


可 查看 各 个 客户 机 上 用 户 所 浏览 网 站 的 历史 记录 网站 历史 记录 


(D 取消 设置 | 
单 击 “操作 历史 记录 ”按钮 。 


STEP08: 打开 “历史 操作 记录 ”对 话 框 


显示 从 [mm Resp -][ 00:34 到 [eres 9 月 63 晶 =] [e3:50 —— t2 [53 开始 5 示 


Mw 显示 操作 记录 M 显示 运行 记 巴 we ETARE 


wE 


system 

: system 

BpIESE system 
HrHETA ; svsten 
HN ApIpSESE systen 
HERES ` xvxbemn 
A ARIES systen 
MAHET : eystan 
P a Sn . syster 
EADAE : system 


查看 主要 操作 记录 ， 并 可 以 管理 员 身 份 删除 记录 。 


STEP09: 返回 “记录 ”选项 卡 


j«m ”| 寺村 |Z | 商品 | 
历史 记录 


Hent 
cx isEHBI En EREUERISIDYSES RR ET SM 


操作 历史 记录 
PREPRE MERRIER MAER CEIDA 


站 网站 历史 记录 


可 查看 和 个 害 户 机 上 用 ARIARI ER 


单 击 “ 网 站 历史 记录 ”按钮 。 


STEP10: 打开 “客户 机 网 站 历史 记录 统计 ”对 话 杠 


客户 机 网站 历史 记录 统计 【 请 使 用 安全 卫士 Y73 以 上 版 本 ) | 
iM. E 9 月 2 日 了 | | 0:00—— 到 204 年 9 月 他 日 了 | [23:58 — 的 记录 "UE [i 


E] ^ SERTER: 1. ee 
列表 只 存 | 清空 记录 库 | dkesmeemnus | i| 号 机 GAER FNS) 


查看 某 台 客户 机 浏览 的 网 站 ， 从 中 可 以 判断 用 户 是 否 进行 下 载 操 作 。 


STEP11: 返回 主 窗口 


001 号 机 


已 用 时 :0 
总 可 用 :0.0 
X32z:0.0 


+ 
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| | 
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再 
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再 


前 共有 0 向 机 器 在 计时 , eof LOS] 当前 管理 品 : yysten 


STEP12: 打开 “信息 ”对 话 框 


systema MA ETA 


Th WE 


输入 设置 的 系统 密码 ， 单 击 “确定 ”按钮 。 


STEP13: 打开 “会 员 制 管理 ”对 话 杠 


|] €*"IM 回 & | MI Hp bo 
&mxB| 新 好 会员 | mp EERO| WESE) AOI eam ee esee] | 


samin [omEXSEX -] | dà zm | 


在 其 中 可 对 本 网 吧 的 会 员 进 行 会 员 充 值 、 新 增 会 员 、 资 料 修改 、 资 料 备 份 、 会 员 统计 等 各 种 管理 。 


第 17 章 ”网 站 脚本 入 侵 与 防范 


本 章 主要 介绍 常见 的 注入 攻击 工具 ， 有 助 于 读者 掌握 注入 攻击 的 基本 流程 ， 通 过 对 注入 攻击 的 深层 实战 剖析 ， 体 会 这 种 攻击 
的 方法 和 手段 ， 从 而 找到 有 效 防 范 注入 攻击 的 方法 。 


17.1 Web 脚 本 入 侵 与 防范 


无 论 是 企业 还 是 个 人 都 可 以 拥有 自己 的 网 站 ， 目 前 网 站 已 经 成 为 交流 沟通 、 展 示 个 性 、 商 业 宣 传 等 不 可 缺少 的 手段 。 同 时 黑 
客 也 把 网 站 作为 自己 的 攻击 目标 ， 虽 然 许 多 网 站 都 做 了 很 多 安全 工作 ， 如 安装 防火 墙 、 给 系统 打 补 丁 、 安 装 安全 检测 系统 ， 但 还 
是 不 能 有 效 地 阻止 黑客 攻击 ， 其 原因 在 于 网 站 上 各 种 Web 应 用 程序 的 不 安全 性 。 


17.2 SQL 注入 攻击 与 防范 
注入 攻击 是 攻击 者 通过 Web 把 恶意 的 代码 传播 到 其 他 的 系统 上 ， 这 些 攻 击 包 括 系统 调用 (通过 shell 命 令 调 用 外 部 程序 ) 和 


后 台数 据 库 调 用 (通过 SQL 注入 ) 等 。 当 一 个 Web 应 用 程序 通过 HTTP 请 求 把 外 部 请 求 的 信息 传递 给 应 用 后 台 时 ， 必 须 非常 小 
心 ， 否 则 注入 攻击 就 可 以 将 特殊 字符 、 有 恶意 代码 或 者 命令 改变 器 注入 这 些 信息 中 ， 并 传输 到 后 台 执 行 。 


由 于 SQL 注入 是 从 正常 的 Web 端 口 攻 击 的 ， 而 且 看 起 来 和 一 般 的 Web 页 面 一 样 ， 所 以 目前 防火 墙 无 法 发 现 SQL 注 入 攻击 。 
如 果 网 站 管理 员 没有 查看 l1S 日 志 的 习惯 ， 则 可 能 在 被 注入 攻击 很 长 时 间 都 不 会 发 觉 ， 所 以 SQL 注入 攻击 是 目前 黑客 使 用 较 多 的 
攻击 方式 。 


17.3 啊 D 注 入 工具 
利用 手工 进行 注入 攻击 具有 相当 大 的 难度 ， 而 利用 一 些 注入 工具 进行 注入 攻击 就 简单 得 多 。“ 呵 D 注 入 工具 ”就 是 一 款 出 现 


相对 较 早 、 功 能 非常 强大 的 SQL 注入 工具 ， 利 用 该 工具 可 以 进行 检测 旁 注 、 猜 解 SQL、 破 解密 码 、 管 理 数据 库 等 操作 。 


17.8 NBSI 注 入 工具 


NBSI 注 入 工具 也 是 黑客 经 常 使 用 的 注入 工具 ， 利 用 该 工具 可 以 对 各 种 注入 漏洞 进行 解码 ， 从 而 提高 猜 解 效率 。NBSI 被 称 作 
网 站 漏洞 检测 工具 ， 是 一 款 ASP 注入 漏洞 检测 工具 ， 在 SQL Server 注 入 检测 方面 有 极 高 的 准确 率 。 


175 ”Domain 旁 注 工具 


目前 使 用 最 广泛 的 三 款 注入 攻击 工具 是 Domain 旁 注 工具 、 啊 D 注 入 工具 、NBSI， 这 些 工具 大 大 简化 了 网 页 注入 操作 的 难 
度 ， 使 用 “Domain 旁 注 工具 ”同样 可 以 轻松 检测 出 网 站 的 数据 库 、 表 、 字 段 的 内 容 ， 甚 至 得 到 网 站 的 管理 权限 。 
17.6 PHP 注 入 工具 ZB9| 


由 于 PHP+MySQL 网 站 具有 安全 系数 较 高 、 访 问 速度 较 快 、 易 用 性 好 、 价 格 较 便宜 等 优点 ， 目 前 很 多 中 小 型 企 事 业 单 位 都 
采用 这 种 模式 创建 网 站 ， 这 类 网 站 也 成 为 黑客 攻击 的 对 象 。 


第 18 章 ”QQ 账号 及 电子 邮件 攻防 


当 自己 的 QQ 受到 攻击 之 后 ， 不 但 自己 可 能 受到 威胁 ， 还 极 有 可 能 为 他 人 带 去 不 安全 隐患 (因为 自己 邮箱 中 可 能 存放 一 些 和 
朋友 或 公司 有 关 的 机 密 信件 ) ， 可 以 对 存在 的 安全 问题 进行 相应 的 防御 措施 。 
18.1 三 种 资 取 QQ 号 码 的 软件 及 其 防范 

我 们 在 使 用 QQ 的 过 程 中 ， 经 常会 听 说 某 个 朋友 的 QQ 号 码 被 次 了。 那么 这 些 QQ 号 码 是 怎么 被 资 的 呢 ? 我 们 平时 使 用 QQ 过 
程 中 应 该 注意 哪些 方面 才能 防止 QQ 被 资 呢 ? 下 面 我 们 以 3 种 常见 的 QQ 号 码 盗号 手段 为 例 ， 曝 光 QQ 号 码 被 咨 过 程 ， 并 给 出 防范 
方法 。 


18.2 ”用 密码 监听 器 揪 出 内 鬼 


密码 监听 器 用 于 监听 基于 网 页 的 邮箱 密码 、POP3 收 信 密 码 、FPT 登 录 密码 、 网 络 游戏 密码 等 。 在 某 台 计算 机 上 运行 该 软 
件 ， 可 以 监听 局 域 网 中 任意 一 台 计 算 机 登录 网 页 邮箱 、 使 用 POP3 收 信 、FPT 登 录 等 的 用 户 名 和 密码 ， 并 对 密码 进行 显示 、 保 
存 ,或 发 送 到 用 户 指定 的 邮箱 。 


18.3 ”保护 QQ 密码 和 聊天 记录 


平时 我 们 经 常会 听 说 他 人 的 QQ 号 码 被 盗 ， 更 甚 者 自己 的 QQ 号 码 也 被 资 了 。 一 旦 QQ 号 码 被 盗 ， 就 可 能 导致 一 些 重要 的 信息 
泄露 ， 从 而 造成 一 定 程度 的 损失 。 那 么 用 户 就 应 该 采取 一 些 有 效 措 施 防 止 自己 的 QQ 密码 泄露 。 


18.4 ”防范 电子 邮箱 账户 欺骗 


邮箱 账户 欺骗 是 指 伪造 邮箱 地 址 发 信 给 他 人 的 行为 ， 这 种 行为 可 以 是 恶意 的 ， 也 可 以 用 来 保护 自己 。 


第 19 章 ”黑客 入 侵 检测 近 术 


入 侵 检测 技术 可 实时 监控 网 络 传输 ， 自 动 检测 可 疑 行为 ， 分 析 来 自 网 络 外 部 入 侵 信号 和 内 部 的 非法 活动 ， 在 系统 受到 危害 前 
发 出 警告 ， 对 攻击 做 出 实时 的 响应 ， 并 提供 补救 措施 ， 最 大 限度 地 保障 系统 安全 。 


19.1. 入 侵 检测 概述 


所 谓 入 侵 检测 是 指 试图 监视 和 尽 可 能 阻止 有 害 信 息 的 入 侵 ， 或 其 他 能 够 对 用 户 的 系统 和 网 络 资源 产生 危害 的 行为 。 简 单 地 
说 ， 它 是 这 样 工作 的 : 用 户 有 一 个 计算 机 系统 ， 它 与 网 络 连 接着 ， 也 许 也 同 互联 网 连接 。 由 于 一 些 原因 ， 人 允许 网 络 上 的 授权 用 户 
访问 该 计算 机 。 比 如 说 ， 有 一 个 连接 着 互联 网 的 Web 服 务 器 ， 人 允许 自己 的 客户 、 员 工 和 一 些 潜在 的 客户 访问 存放 在 该 Web 服 务 
器 上 的 Web 页 面 。 


入 侵 检测 可 以 采取 更 多 的 措施 ， 常 用 的 有 以 下 两 种 : 
1) 放置 在 防火 墙 和 一 个 安全 系统 之 间 ， 基 于 网 络 的 入 侵 检测 系统 ， 就 能 够 给 该 系统 提供 另外 层次 的 保护 。 


2) 监视 从 互联 网 上 来 的 对 安全 系统 的 敏感 数据 端口 的 访问 ， 可 以 判断 防火 墙 是 否 被 攻破 ， 或 是 否 采 取 一 种 未 知 的 技巧 来 绕 
过 防火 墙 的 安全 机 制 ， 从 而 访问 被 保护 的 网 络 。 


入 侵 检测 系统 分 为 基于 网 络 的 入 侵 检 测 系 统 、 基 于 主机 的 入 侵 检测 系统 、 基 于 漏洞 的 入 侵 检测 系统 3 种 类 型 。 


19.2 基于 网 络 的 入 侵 检 测 系 统 


这 种 类 型 一 般 安装 在 需要 保护 的 网 段 中 ， 利 用 网 络 侦 听 技术 实时 监视 网 段 中 传输 的 各 种 数据 包 ， 并 对 这 些 数 据 包 的 内 容 、 源 
地 址 、 目 的 地 址 等 进行 分 析 和 检测 。 如 果 发 现 入 侵 行为 或 可 疑 事件 ， 入 侵 检测 系统 就 会 发 出 警报 甚至 切断 网 络 连接 。 其 整个 入 侵 
金 测 系统 结构 如 图 所 示 。 网 络 接口 卡 (NIC) 可 以 在 如 下 两 种 模式 下 工作 : 


1) 正常 模式 。 需 要 发 送 向 计算 机 (通过 包 的 以 太 网 或 MAC 地 址 进行 判断 ) 的 数据 包 ， 通 过 该 主机 系统 进行 中 继 转发 。 


2) 混杂 模式 。 此 时 以 太 网 上 所 能 见 到 的 数据 包 都 向 该 主机 系统 中 继 。 
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基于 网 络 的 入 侵 检 测 结 构 


一 块 网 卡 可 以 从 正常 模式 向 混杂 模式 转换 ， 通 过 使 用 操作 系统 的 底层 功能 就 能 直接 告诉 网 卡 进行 如 此 改变 。 通 常 ， 基 于 网 络 
的 入 侵 检测 系统 要 求 网 卡 处 于 混杂 模式 。 


19.3 ”基于 主机 的 入 侵 检测 系统 


这 种 类 型 的 入 侵 检测 系统 运行 在 需要 监视 的 系统 上 。 它 们 监视 系统 并 判断 系统 上 的 活动 是 否 可 接受 。 如 果 一 个 网 络 数据 包 已 
经 到 达 它 要 试图 进入 的 主机 ， 要 想 准 确 地 检测 出 来 并 进行 阻止 ， 除 防火 墙 和 网 络 监视 器 外 ， 还 可 用 第 三 道 防线 来 阻止 ， 即 基于 主 
机 的 入 侵 检 测 ， 其 入 侵 检 测 结构 如 图 所 示 。 
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基于 主机 的 入 侵 检测 结构 
两 种 基于 主机 的 入 侵 检测 类 型 是 : 


1) 网 络 监视 器 。 它 监视 进来 的 主机 的 网 络 连接 ， 并 试图 判断 这 些 连 接 是 否 是 一 个 威胁 。 并 可 检查 出 网 络 连接 表达 的 一 些 试 
图 进行 的 入 侵 类 型 。 记 住 ， 这 与 基于 网 络 的 入 侵 检测 不 同 ， 因 为 它 只 监视 它 所 运行 的 主机 上 的 网 络 通信 ， 而 不 是 通过 网 络 的 所 有 
通信 。 基 于 此 种 原因 ， 它 不 需要 网 络 接口 处 于 混杂 模式 。 


2) 主机 监视 器 。 它 监视 文件 、 文 件 系统 、 日 志 或 主机 其 他 部 分 ， 查 找 特定 类 型 的 活动 ， 进 而 判断 是 否 是 一 个 入 侵 企图 (或 
一 个 成 功 的 入 侵 ) 之 后 ， 通 知 系统 管理 员 。 


1 .监视 进来 的 连接 


在 数据 包 到 达 主 机 系统 的 网 络 层 之 前 ， 检 查 试图 访问 主机 的 数据 包 是 可 以 的 。 这 种 机 制 试图 在 到 达 的 数据 包 能 够 对 主机 造成 
破坏 之 前 ， 截 获 该 数据 包 而 保护 该 主机 。 


可 以 采取 的 活动 主要 有 
1) 检测 试图 与 未 授权 的 TCP 或 UDP 端口 进行 的 连接 。 如 果 试 图 连接 没有 服务 的 端口 ， 这 通常 表明 入 侵 者 在 搜索 查找 漏洞 。 


2) 检测 进来 的 端口 扫描 。 再 一 次 ， 这 是 个 一 定 要 对 付 的 问题 ， 并 给 防火 墙 发 警告 或 修改 本 地 的 IP 配 置 以 拒绝 从 可 能 的 入 侵 
者 主机 来 的 访问 。 


可 以 执行 这 种 监视 类 型 的 两 种 软件 产品 分 别 是 ISS 公 司 的 Real Secure 和 Port Sentry, 


2. 监 视 登 录 活 动 


尽管 管理 员 已 经 尽 了 最 大 努力 ， 同 时 刚刚 配置 并 不 断 检 查 入 侵 检测 软件 ， 但 仍然 可 能 有 某 些 入 侵 者 采取 目前 都 不 知道 的 入 侵 
攻击 方法 来 进入 系统 。 一 个 攻击 者 可 以 通过 各 种 方法 ( 包 嗅 探 器 或 其 他 ) 获得 一 个 网 络 密码 ， 从 而 有 可 能 进入 该 系统 。 


查找 系统 上 的 不 正常 的 活动 是 一 个 如 Host Sentry 软 件 的 工作 。 这 种 类 型 的 包 监 视 器 ， 尝 试 登录 或 退出 ， 从 而 给 系统 管理 员 
发 送 和 警告 ， 该 活动 是 不 正常 的 或 不 希望 的 。 


3. 监 视 root 的 活动 


获得 要 进行 破坏 的 系统 超级 用 户 (root) 或 管理 员 的 访问 权限 ， 是 所 有 入 侵 者 的 目标 。 除 了 在 特定 的 时 间 内 对 系统 进行 定期 
维护 外 ， 对 如 Web 服 务 器 或 数据 库 服 务 器 进行 良好 的 维护 ， 和 在 可 靠 的 系统 上 对 超级 用 户 进行 维护 ， 通 常 是 几乎 没有 或 很 少 进 
行 的 活动 。 但 入 侵 者 不 信任 系统 维护 ， 他 们 很 少 在 定期 的 维护 时 间 工 作 ， 而 经 常 是 在 上 面 进行 很 长 时 间 的 活动 。 他 们 在 该 系统 上 
执行 很 多 不 正常 的 操作 ， 有 时 候 比 系统 管理 员 执行 的 都 多 。 


4 监视 文件 系统 


一 旦 一 个 入 侵 者 入 侵 了 一 个 系统 (虽然 已 尽 最 大 努力 使 得 入 侵 检测 系统 发 挥 最 佳 效 果 ， 但 也 不 能 完全 排除 入 侵 者 入 侵 系统 的 
可 能 性 ) ， 就 要 改变 系统 的 文件 。 如 : 一 个 成 功 的 入 侵 者 可 能 想 要 安装 一 个 包 嗅 探 器 或 者 端口 扫描 检测 器 ， 或 修改 一 些 系统 文件 
或 程序 ， 使 得 网 管 不 能 检测 出 他 们 在 周围 进行 的 入 侵 活动 。 在 一 个 系统 上 安装 软件 通常 包括 修改 系统 的 某 些 部 分 ， 这 些 修 改 通 常 
是 要 修改 系统 上 的 文件 或 库 。 


19.4 ”基于 漏洞 的 入 侵 检测 系统 


黑客 利用 漏洞 进入 系统 ， 表 悄然 离开 ， 整 个 过 程 系 统管 理 员 可 能 毫 无 察觉 ， 等 黑客 在 系统 内 胡作非为 后 再 发 现 已 为 时 已 晚 。 
为 防 患 于 未 然 ， 应 对 系统 进行 扫描 ， 发 现 漏洞 及 时 补救 。 “流光 ”在 国内 的 网 络 安全 爱好 者 们 中 可 以 说 是 无 人 不 晓 ， 它 不 仅仅 是 
一 个 安全 漏洞 扫描 工具 ， 更 是 一 个 功能 强大 的 透 渗 测试 工具 。 “流光 ”独特 的 C/S 结 构 的 扫描 设计 颇 获 好 评 。 


19.5” 萨 客 断 入 侵 检 测 系统 


萨 客 断 入 侵 检测 系统 基于 协议 分 析 ， 采 用 了 快速 的 多 模式 匹配 算法 ， 能 对 当前 复杂 高 速 的 网 络 进行 快速 精确 分 析 。 它 在 网 络 
安全 和 网 络 性 能 方面 可 以 提供 全 面 和 深入 的 数据 依据 ， 是 企业 、 政 府 、 学 校 等 机 构 进行 多 层次 防御 的 重要 产品 。 具 体 的 操作 步骤 
如 下 。 


STEPO1: 运行 萨 客 晰 入 侵 检 测 系统 
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选择 "sg = “开始 ” 菜单 项 。 


STEPO2: 打开 “设置 ”对 话 框 


1. 选择 网 卡 。 2. Áh “ME fao 


【提示 】 


因为 该 检测 系统 是 通过 适配器 来 捕捉 网 络 中 正在 传输 的 数据 ， 并 对 其 进行 分 析 的 ， 所 以 正确 选择 网 卡 是 能 够 捕捉 到 入 侵 的 关 


键 一 步 。 


STEP03: 对 本 机 所 在 的 局 域 网 所 有 的 主机 进行 监控 
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可 以 看 到 检测 到 主机 的 IP 地 址 、 
到 在 监控 时 ， 进 行 会 话 的 源 IP 地 址 、 


STEP05: 分 类 查看 会 话 信息 


对 应 的 MAC 地 址 、 本 机 的 运行 状态 以 及 数据 包 统 计 、TCP 连 接 
源 端口 、 目 标 IP 地 址 、 目 标 端口 、 使 用 到 的 协议 类 型 、 状 态 、 


情况 、FTP 分 析 等 
事件 、 数 据 包 


3 息 。 可 看 
节 等 信息 。 
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1. 在 “会 话 信息 ”列表 中 右 击 某 ”2. 在 左边 的 节点 列 
条 信息 ， 在 快捷 菜单 中 选择 “ 按 ” 表 中 右 击 某 个 物理 地 
源 节点 进行 过 渡 ” 选 项 ， 即 可 按 ” 址 ， 在 快捷 菜单 中 ; 
某 个 源 PA IA SB. R “增加 别名 ”选项 。 


STEP06: 打开 “增加 别名 ”对 话 框 


08:00:2E:73:20:BA 


在 “别名 ”文本 框 中 输入 名 称 之 后 ， 单 击 
“确定 ”按钮 。 


STEPO7: 自 定 义 的 物理 地 址 名 称 


RMD Am AREN He 


2e pTAmE co 
a M 吧 : 吕 :下 :13:20: 以 602) 
M3 O0: 15:55: A: DICT. 122.1 
my CC HT bo TT gud d 
mpino wk! 
Ng 01.00.66 01 01.01. C24 
Mj 00: LE: 6C: 1T: BO- 66. 032 
Aa 00.01: 6C EG: 51- 06. q32 
ANE 0): (B FC Ee 3O FF 32 
MM ot go SE 4C 16 44 
L LI "o *& 40 FP 55 
Mor msi eT 5) ED 
M3 01:00: *E Tb tz c8 
Mj) 01:00: 5E: D1 TA: A1 
Mg 01:00: 5E 5D: EDT 
mg 01 00: 6E 16 4:30 
Mg 01:00: 6E 42 4:01 
Mg 0L:00: 56 45 BU F3 
M3 0I 00 5E «4 34 (6 
" 


n 


àw p- A- leloa 


查看 该 物理 地 址 中 刚 定义 的 名 称 。 


STEP08: 在 “入 侵 事件 ”选项 卡 下 查看 事件 
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如 果 发 现 违反 安全 策略 的 行为 和 被 攻击 的 迹象 ， 
则 在 “入 侵 事 件 ” 选 项 卡 下 即 可 看 到 入 侵 事 件 的 
详细 信息 。 


STEPO9: 切换 至 “日 志 ” 选 项 卡 
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单 击 “ 自 定义 列 ” 按 钮 ， 自 定义 日 志 的 显示 格式 。 


STEP10: 打开 “表格 显示 定义 ”对 话 框 
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1. 义 选 相应 的 复 ”2. 单 击 “确定 ” 
选 框 。 按钮 。 


STEP11: 返回 主 界面 
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选择 “设置 ” = "306 In " KAN, 


STEP12: 打开 “详细 设置 ”对 话 框 
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勾 选 相应 的 复 选 框 ， 展 开 “ 分 析 模 块 ” 中 
各 个 子 项 。 


STEP13: 选择 “入 侵 分 析 器 ”选项 
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1. 设置 是 否 局 用 日 志 等 。2. ih "HE" fao 


STEP14: 返回 主 界面 
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选择 “设置 ” 一 “别名 设置 ”菜单 项 。 


STEP15: 打开 “别名 设置 ”对 话 框 
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对 物理 地 址 、IP 地 址 、 端 口 进行 各 种 操作 ， 
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STEP16: 返回 主 界面 
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选择 “设置 ”一 “检测 规则 设置 " 


STEP17: 打开 “入 侵 规 则 设置 ”对 话 框 
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eT 增加 选项 、 删 除 选 项 等 操作 。 
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该 检测 系统 可 检测 出 用 户 网 络 中 存在 的 黑客 入 侵 、 网 络 资源 滥用 、 蠕 虫 攻击 、 后 门 木马 、ARP 欺 骗 、 拒 绝 服务 攻击 等 各 种 威 


胁 。 同 时 ， 可 以 根据 策略 配置 主动 切断 危险 行为 ， 对 目标 网 络 进行 保护 。 


19.6 Snort 入 侵 检 测 系统 


Snort 是 一 个 基于 libpcap 的 轻 量 级 网 络 入 侵 检 测 系统 ， 可 记录 所 有 可 能 的 入 侵 企 图 。 记 录 信 息 的 文件 可 以 是 文本 、XML、 


libpcap 格 式 ， 也 可 以 把 信息 记录 到 syslog 或 数据 库 中 。 


第 20 草 ”网 络 代 理 与 追 路 技术 


为 了 更 好 地 隐藏 自己 ， 黑 客 在 攻击 前 往往 会 先 找到 一 些 管理 员 水 平 不 高 的 网 络 主机 作为 代理 服务 器 ， 再 通过 这 些 主机 去 攻击 
目标 计算 机 。 正 是 有 了 这 些 代理 服务 器 ， 黑 客 的 行踪 才 不 容易 被 发 现 ， 这 样 黑 客 就 可 以 肆 无 忌 刁 地 进行 攻击 了 。 


20.1 代理 服务 器 软件 的 使 用 


代理 服务 器 可 用 于 局 域 网 计算 机 与 Internet 连 接 时 共享 上 网 ， 而 黑客 则 可 通过 代理 服务 器 软件 对 某 台 计算 机 进行 扫描 ， 从 而 
截获 目标 计算 机 的 重要 信息 ， 以 达到 入 侵 的 目的 。 
20.2 ”常见 的 黑客 追 际 工具 


随 着 网 络 应 用 技术 的 发 展 ， 目 前 黑客 常常 利用 专门 的 追踪 工具 来 追踪 和 攻击 远程 计算 机 。 在 本 节 将 介绍 几 款 常见 的 黑客 追踪 
TA, 


第 21 草 ”入侵 痕 迹 清除 技术 


一 旦 入 侵 者 与 远程 主机 /服务 器 建立 起 连接 ， 系 统 就 开始 把 入 侵 者 的 IP 地 址 及 相应 操作 事件 记录 下 来 ， 此 时 系统 管理 员 就 可 
以 通过 这 些 日 志文 件 找到 入 侵 者 的 入 侵 痕 迹 ， 从 而 获得 入 侵 证 据 及 入 侵 者 的 |P 地 址 。 所 以 为 避免 留 下 入 侵 的 痕迹 ， 黑 客 在 完成 入 
侵 任 务 之 后 ， 还 要 尽 可 能 地 把 自己 的 入 侵 痕 迹 清除 干净 ， 以 免 被 管理 员 发 现 。 


21.1 黑客 留 下 的 脚印 


日 志 就 是 对 系统 中 操作 进行 的 记录 ， 在 其 中 可 看 到 对 计算 机 的 操作 和 应 用 程序 的 运行 情况 ， 黑 客 入 侵 后 所 有 行动 也 会 被 日 志 
记录 下 来 。 清 除 掉 日 志 是 黑客 入 侵 后 必须 要 做 的 一 件 事情 。 


21.2 日 志 分 析 工 具 WebTrends 


WebTrends Log Analyzer 是 一 款 功能 强大 的 Web 流 量 分 析 软件 ， 可 处 理 超过 15GB 的 日 志文 件 ， 并 且 可 生成 关于 网 站 内 容 
信息 分 析 的 可 定制 的 多 种 报告 形式 ， 如 DOC、HTML、XLS 和 ASCII 文 件 等 ; 还 可 处 理 所 有 符合 标准 的 Web 服 务 器 日 志文 件 ， 如 
非 标准 的 、proprietary 等 日 志 格式 。 还 可 以 通过 使 用 独立 运行 的 Scheduler 计 划 程 序 自动 输出 流量 分 析 报 告 ， 为 管理 员 提供 了 一 
套 分 析 日 志文 件 的 基本 解决 方法 。 


21.3 ”清除 服务 器 日 志 


随 着 日 志 的 增多 ， 往 往 会 加 重 服务 器 的 负荷 ， 所 以 要 及 时 删除 服务 器 的 日 志 。 删 除 服务 器 日 志 常 用 的 方法 有 手工 删除 和 通过 
批 处 理 文件 删除 两 种 方式 。 


214 Windows 日 志清 理工 具 


当日 志 为 用 户 记 录 着 系统 所 发 生 的 一 切 的 时 候 ， 用 户 同样 也 需要 规范 管理 日 志 。 但 是 庞大 的 日 志 记 录 又 令 用 户 感到 头疼 ， 
要 使 用 专门 的 工具 对 日 志 进 行 分 析 、 汇 总 ， 并 从 日 志 记录 中 获取 有 用 的 信息 ， 以 便 针 对 不 同 的 情况 采取 必要 的 措施 。 


21.5 ”清除 历史 痕迹 


在 使 用 计算 机 的 过 程 中 ， 系 统 会 将 用 户 在 计算 机 上 的 所 有 操作 都 记录 下 来 ， 用 户 可 以 方便 地 查阅 以 前 的 操作 。 但 这 些 记录 也 
会 被 黑客 利用 ， 为 了 保护 计算 机 的 安全 ， 需 要 定期 清除 系统 中 保存 的 各 种 历史 痕迹 。 


第 22 章 ”网 络 文 付 工 具 的 安全 防护 


在 网 络 购物 盛行 的 今天 ， 淘 宝 中 所 用 到 的 支付 宝 和 拍 拍 网 中 用 到 的 财 付 通 已 经 成 为 用 户 经 常 使 用 的 支付 工具 。 那 么 为 了 保障 
支付 工具 的 安全 ， 就 需要 采取 一 些 有 效 的 防护 措施 ， 使 我 们 的 财产 得 到 保障 。 


22.4 ”加 强 支 付 宝 的 安全 防护 


支付 宝 作为 一 款 网 络 支 付 工具 已 经 被 广泛 接受 ， 那 么 对 于 经 常 使 用 支付 宝 的 用 户 来 说 ， 其 账户 以 及 账户 内 资金 的 安全 也 成 为 
比较 担心 的 问题 。 本 章 就 从 这 两 点 出 发 ， 向 用 户 介绍 如 何 使 自己 的 支付 宝 账户 以 及 账户 内 资金 更 加 安全 ， 防 御 系 数 更 高 。 


22.2 ”加 强 财 付 通 的 安全 防护 


财 付 通 是 腾讯 公司 推出 的 专业 在 线 支付 平台 ， 其 核心 业务 是 帮助 在 互联 网 上 进行 交易 的 双方 完成 支付 和 收 款 。 个 人 用 户 注册 
财 付 通 后 ， 可 在 拍 拍 网 及 20 多 万 家 购物 网 站 进行 购物 。 财 付 通 支 持 全 国 各 大 银行 的 网 银 支 付 ， 用 户 也 可 以 先 在 财 付 通 充 值 ， 享 
受 更 加 便捷 的 财 付 通 余额 支付 体验 。 


22.3 ”加 强 网 上 银行 的 安全 防护 


网 上 银行 又 称 网 络 银行 、 在 线 银行 ， 是 指 银行 利用 Internet 技 术 ， 通 过 Internet 向 客户 提供 开户 、 查 询 、 对 账 、 转 账 、 投 资 
理财 等 传统 服务 项 目 ， 使 客户 足 不 出 户 就 可 以 办 理 各 项 银行 业务 。 但 是 网 上 银行 也 一 直 有 被 黑客 盗 取 账 号 、 密 码 的 情况 发 生 ， 为 
了 避免 这 种 情况 ， 就 应 该 做 好 防范 ， 提 高 网 上 银行 的 安全 性 。 


第 23 章 ”系统 和 数据 的 备份 与 恢复 


当 用 户 日 常 浏览 网 页 、 下 载 工 具 时 ， 有 了 时 会 遇 到 一 些 病毒 、 木 马夹 带 在 其 中 ， 对 系统 造成 伤害 而 无 法 正常 使 用 。 如 果 提 前 对 
系统 和 数据 做 好 备份 ， 这 时 就 可 以 及 时 地 进行 恢复 操作 ， 从 而 避免 不 必要 的 损失 。 


23.1. 备份 与 还 原 操作 系统 


23.1.1 ”使 用 还 原点 备份 与 还 原 系统 


Windows 系 统 内 置 了 一 个 系统 备份 和 还 原 模块 ， 这 个 模块 就 叫做 还 原点 。 当 系统 出 现 问 题 时 ， 可 先 通 过 还 原点 尝试 修复 系 
统 。 
1. 创 建 还 原点 

还 原点 在 Windows 系 统 中 是 为 保护 系统 而 存在 的 。 由 于 每 个 被 创建 的 还 原点 中 都 包含 了 该 系统 的 系统 设置 和 文件 数据 ， 所 


以 用 户 完全 可 以 使 用 还 原点 来 备份 和 还 原 操 作 系统 。 现 在 就 为 用 户 详细 介绍 一 下 创建 还 原点 的 具体 操作 步骤 。 


STEPO1: 右 击 桌 面 上 的 “计算 机 ”图 标 


在 弹出 的 列表 中 单 击 “属性 ” 佣 令 。 


STEP02: 打开 的 “系统 ”窗口 


单 击 左 侧 的 “高 级 系统 设置 ”链接 。 


STEP03: 打开 “系统 属性 ”对 话 框 


系统 还 原 
本 以 通过 将 计算 机 还 原 到 上 一 个 还 原点 ， 
ee FAIRG). 


aAa 


1. 切换 至 “系统 保护 ” 2. 单 击 “ 创 建 ” 按 钮 。 
选项 卡 。 


STEP04: 创建 还 原点 


计算 机 名 系 
加 可 以 使 用 系统 保 消 不 需要 的 系统 更 改 ， 还 原 以 前 版 
JA 湖人 是 和 人 


系统 还 原 
司 以 通过 接 计 算 机 二 原 到 上 一 个 还 原点， 


创建 还 原点 
键入 可 以 帮助 您 识别 还 原点 的 描述 。 系 统 会 自动 瀛 加 当前 日 期 和 时 间 。 


1. 输入 还 原点 描述 。 2. 然后 单 击 “ 创 建 ”按钮 。 


STEPO5: 正在 创建 还 原点 


查看 提示 信息 并 单 击 “ 关 闭 ” 按 钮 。 


【提示 】 


在 Windows 系 统 中 ， 还 原点 虽然 默认 只 备份 系统 安装 所 在 盘 的 数据 ,但 用 户 也 可 通过 设置 来 备份 非 系统 盘 中 的 数据 。 只 是 由 
于 非 系 统 盘 中 的 数据 太 过 繁多 ,使 用 还 原点 备份 时 要 保证 计算 机 中 有 足够 的 磁盘 空间 。 


2. 使 用 还 原点 


成 功 创建 还 原点 后 ， 系 统 遇 到 问题 时 就 可 通过 还 原点 来 还 原 系统 ， 从 而 对 系统 进行 修复 。 现 在 就 详细 介绍 一 下 还 原点 的 具体 
使 用 方法 和 步骤 。 


STEP01: 打开 “系统 属性 ”对 话 框 


dise EDU 
Bat 


1. 切 换 至 “系统 保护 ” 2. ih "REDE 
选项 卡 o 按钮 。 


STEP02: 还 原 系 统 文件 和 设置 


还 原 系统 文件 和 设置 


东 统 还 原 可 以 帮助 解决 全 计算 机 运行 绥 慢 或 停止 响应 的 问题。 


MESURES ERE nasum n 


单 击 "E=" 按钮 。 


STEPO3: 根据 日 期 、 时 间 选 取 还 原点 


日 期 和 时 间 ~ 
20147177 10:46:52 
[L1 1 * fp * pL | 


回 显 示 更 条 还 原点 M) 


ERES 


1. 选中 一 个 还 原点 。 ”2. 单 击 “下 一 步 ” 按 钮 。 


STEP04: 确认 还 原点 信息 


FARRA 
着 计算 机 桂 镇 还 原 到 下 画 “ 撕 述 ” 广 段 中 的 事件 之 前 所 处 的 法 


Bii]: 2014/1/7 10:27:12 (GĦT+8:00) 
HË: 手动 : 系统 


Ez: dom cog 


HSEBESAI "izdewz 密码 ， 贝 建议 您 创建 客 码 重 午 盘 。 ARE 


a M ggguemn. wann. 


单 击 “完成 ”按钮 。 


STEP05: 查看 提示 信息 


P 系统 还 原 a 


K] 


Tiv FRILSWKEREBITUR “ 撕 述 "字段 中 的 事件 之 前 所 址 的 械 


时 间 : PDLAÁ1/T 10:27:12 (MTHS: 00) 


Hjt: Fa: FR 


驱动 条: ABER (C02 PR] 


A Ayao. AAHR ERE. SA m? 
MARERA , AUTAS ARTRAERTRA RE xe (E 
ATRAE . ME. | 


单 击 “ 是 ”按钮 。 


STEP06: 准备 还 原 系 统 


: [88 ] 
计算 机 名 高 级 “| 系统 保护 | 运程 | 

a5 PL AS. IRTGEESRVRISBPE. ALAR 

'! Esca ins RIEN 


系统 还 原 
的 ' 


- ££ E 
ami dx 


Ü| IdpEBXDBE... 


Ll 
ca 本 地 磋 盘 中:) 
< 本 地 磁盘 GO 


计算 机 正在 准备 还 原 系统 。 


STEP07: 还 原 Windows 文 件 和 设置 


重新 启动 计算 机 。 


STEP08: 系统 还 原 完 成 


BED N 


VUiTalala p 
AAIS CICER 


~ WNR NEUEN Windows 文件 和 设置 


ERA 


PS IAS 


查看 提示 信息 并 单 击 “ 关 闭 ” 按 钮 。 


232 ”备份 与 还 原 用 户 数据 


23.2.1 使 用 “驱动 精灵 ”备份 与 还 原 驱动 程序 


“驱动 精灵 ”是 一 款 集 驱 动 管理 和 硬件 检测 于 一 体 的 较为 专业 级 的 驱动 管理 和 维护 工具 。 “驱动 精灵 ”为 用 户 提供 驱动 备 
份 、 恢 复 、 安 装 、 删 除 、 在 线 更 新 等 实用 功能 ， 一 旦 出 现 异常 情况 ，“ 驱 动 精灵 ”就 能 在 最 短 时 间 内 让 硬件 恢复 正常 运行 。 


在 计算 机 重 装 前 ， 将 你 目前 计算 机 中 的 最 新 版 本 驱动 程序 通通 备份 下 来 ， 待 重 装 完成 时 ， 再 使 用 驱动 程序 的 还 原 功 能 安装 ， 
这 样 ， 便 可 以 节省 许多 驱动 程序 安装 的 时 间 ， 并 且 再 也 不 怕 找 不 到 驱动 程序 了 。 


1. 使 用 “驱动 精灵 ”备份 驱动 程序 
现在 就 详细 介绍 一 下 使 用 “驱动 精灵 ”备份 驱动 程序 的 使 用 方法 和 步骤 。 


STEPO1: 运行 “驱动 精灵 ” 


auem eoi 


| s || Ez ca || 


(y esami 个 设备 ，2 iae 


WUE:5.7601.17514 


E£ :oL760117514 


EE: pL 


MÆ: 61.760i.18251 


WE :5L760113231 


F EeccEL E 


1. 单 击 “ 驱 动 程序 ” 2. 切 换 到 “备份 还 原 ” 
图 标 。 选项 卡 ， 在 页 面 下方 单 
击 “ 路 径 设置 ”按钮 。 


STEPO2: 设置 驱动 备份 路 径 


"UESERUS CITERE CXERMEOD 


Pawpwearam | mEBR pE 
BIENES ERNARI 


设置 驱动 备份 路 径 并 且 可 选择 备份 到 文件 夹 还 是 
ZIP 上 压缩 文件 ， 选 定 后 单 击 “ 确 定 ”按钮 。 


STEP03: 选择 要 备份 的 驱动 程序 


tihih T2013 


A 2 g ooga 


于 本 状态 |i 


mamn, FALATA 
| mmu | RRES || menm | mete 
Â eim 4 个 设备，2 个 设备 可 备份 


i ss 


(^| Intel(R) 82802 Firmware Hub Device 874-28 


Iv] High Definition Audio 28% 


K) = 


|v| Realtek High Definition Audio 
ig “ess 
[Z| Intel(R) 82801G (ICH7 Family) USB Universal Host Contr.. 85/28 


[| Intel(R) 82801GB/GR/GH (ICH7 Family) Serial ATA Storage Controll... 


9 ss 


可 对 单个 驱动 程序 进行 备份 ， 
份 ” 按 钮 一 次 性 全 部 备份 。 


STEP04: 选择 是 否 履 盖 原 来 的 备份 


板 本 :617601.17514 


SE :6.1.7601.17514 


E+ :6.17601.18251 


M :6.177601.18231 


ER SEI: Du ded LIES 


也 可 单 击 “ 一 键 备 


o 设备 Intel(R) 82802 Firmware Hub Device 的 驱动 已 经 


EMI, FSRS. 


单 击 “ 是 ”按钮 会 覆盖 原来 的 备份 文件 重新 进行 
备份。 


STEP05: 备份 完成 


2o £85 


drivers. mf 


R High Definition Audio f$8/8.zip. 


Intel(R) 82801G (ICH7 Family) USB Un... 2014/1/8 17:49 
y) 


Wi Intel(R) 82801GB GR GH (ICH7 Family.. 2014/1/8 17:50 在 设 定 的 备份 路 径 中 查 看 E 经 备份 的 压缩 


[=] Intel(R) 82802 Firmware Hub Devicez.. 2014/1/8 17:47 A 
V) Realtek High Definition Audic.zip 2014/1/8 17:40 文件 。 


2. 使 用 “驱动 精灵 ” 还原 驱 动 程序 
备份 了 驱动 程序 后 ， 在 驱动 程序 丢失 或 损坏 时 ， 就 可 以 通过 “驱动 精灵 ”来 还 原 所 有 驱动 程序 ， 从 而 重新 正常 使 用 。 


接 下 来 就 详细 介绍 一 下 使 用 “驱动 精灵 ”还 原 驱动 程序 的 操作 方法 和 步骤 。 


STEPO1: 打开 “驱动 程序 ”界面 


L D T2013 


HV © a 


mi E- -z 
f E 


EE ana aaa maam 
" 已 经 成 功 备份 所 有 设备 驱动 , 共 6 


[V] Intel(R) 82802 Firmware Hub Devicd 74-2 fat :6,17601.17514 
[C] High Definition Audio $i) : 6.17601.17514 


«Q) 产 卡 


uU Realtek High Definition Audio : 6.0.1.6428 


| Intel(R) 82801G [ICH7 Family) USB $ni : 6.1.7601.18251 


= 


| Intel(R) 82801GB/GR/GH (ICH7 Fambly) Serial ATA Storage Controll... :6,1,7601.18231 


e 


[7] HID-compliant mouse : 6.1.7600.16385 


reu 


1. 切换 至 “备份 还 ”2. 勾 选 需要 还 原 的 驱动 程 
原 ” 选 项 卡 。 序 ， 然 后 单 击 “ 还 原 ”按钮 。 


STEPO2: 驱动 程序 完成 更 新 


Q EEFC AR, zEESEsSEBSUIRESSN. 


”现在 就 重新 启动 吗 ? 


单 击 “ 重 局 系统 ” 按钮， 计算机 将 重新 局 动 
并 使 还 原 的 驱动 程序 生效 。 


23.3 ”使 用 恢复 工具 恢复 误 删 除 的 数据 


23.3.1 ”使 用 Recuva 恢 复数 据 


Recuva 是 一 个 由 Piriform 开 发 的 可 以 恢复 被 误 删 除 的 任意 格式 文件 的 恢复 工具 。Recuva 能 直接 恢复 硬盘 、 闪 盘 、 存 储 卡 
(如 SD 卡 、MMC 卡 等 ) 中 的 文件 ， 只 要 没有 被 再 次 写 入 数据 ， 无 论 格式 化 还 是 删除 均 可 直接 恢复 。 


1. 通 过 向 导 恢复 数据 


Recuva 向 导 可 直接 选 定 要 恢复 的 文件 类 型 ， 从 而 进行 有 针对 性 的 文件 恢复 。 此 处 以 恢复 音乐 文件 为 例 详细 介绍 一 下 通过 
Recuva 向 导 恢 复数 据 的 操作 方法 和 步骤 。 


STEPO1: 启动 Recuva 数 据 恢 复 软 件 


欢迎 来 到 Recuva 向 导 


REN EE ROBA 只 需 回答 漳 单 几 
个 问题 , Recuva 会 帮 您 做 余下 的 事情 . 


ee USO 


E 启动 时 不 显示 此 向 号 人 ) 


在 “欢迎 来 到 Recuva 同 导 ” 寞 面 单 击 “ 下 一 步 ” 按 饵 。 


STEPO2: 选择 文件 类 型 


件 类 型 
您 在 恢复 什么 类 型 的 文件 ? 


O 所 有 文件 (A) 
显示 所 有 文件 . 


O BIA) 
只 显示 图 片 文件 , 例如 数码 照片 . 


只 显示 音乐 文件 , 例如 Mes 播放 絮 的 音乐 文件 ， 


© 文档 (D) 

只 显示 公共 办 公 长 档 格式 , 例如 Word 和 Excal 文件 . 
CO 视频 (V) 

只 显示 视频 文件 | 例如 数码 摄像 机 拍摄 的 片段 . 
O EAO 

只 显示 压缩 文件 


日 电子 邮件 (E) 
Show only emails fom Thunderbird, Outlook Express, Windows Mail and Microsoft 


1. 选 中 “音乐 ” 单 选项 。 2. 单 击 “ 下 一 步 ”按钮 。 


STEP03: 选择 文件 位 置 


文件 位 置 
文件 在 哪里 ? 


图 无 法 确定 (0 
查找 本 计算 机 中 的 所 有 位 置 . 


C 在 我 的 存 包 卡 或 Pod 上 
坦 技 所 有 可 反动 全 (T co 30:8) 上 已 的 文件 
O 在 我 的 文 村 co) 
imer eres. 
C Tz pO, 
rid 
oet 
C 
A On a CD /DVI 
El ticum Rea: 
1. 无 法 确定 存放 位 置 时 选 2. 年 而 “下 一 步 
中 “无 法 确定 ” 单 选 项 。 按钮 。 


STEPOA: 准备 查找 文件 


竺 后 您 将 会 看 到 一 个 Reauva 查找 到 的 区 件 列表 
papini a i HARRERA. 


ARATATA, GR E. 注意 此 操作 在 
ADS a ei Me E 


自用 深度 搜索 如) 
点 击 开始 执行 查找 . 


单 击 “开始 ”按钮 。 


STEP05: 扫描 已 删除 的 文件 


扫 摘 工 共 5 个 驱动 强 中 
hid 3: 扫 摘 驱 动 避 的 已 删除 文件 中 
当前 进度 : 44, 已 找到 57372 个 文件 


BE 


预计 镜 余 时 间 : 3 分 


STEPO6: 扫描 到 的 音乐 文件 


3 Recuva com '1.49.101 
ù y lag S 71 6I p 37-Dt SP 


AS SB EE EXP RM BREIZ. ea c 


HAER 路 径 县 后 话 改 8 人 
B utar EESTI 初 见 ,mp3 CAUsersMAdministreterDesktopyEFIEZFEXE (23)\.. 2011/10/ S 
| BANER ANE mpå CAUsers\Administratorn Desktopu (3)\... 2011/8/7 
DEARA mS FEmp3 CAUsersSAdministraetorNDesktop REESE (3)\.. 2011/9/1 
Q EK Szara xmESSSm..|CAUserAdministreatonDesktopyeFRE £E- (3... 2011/8/1 
9 EXES 干 年 风雅 .mp3 CAUsersMAdministrstorDesktopy i EnA (3)\.. 2011/8/7 
Ò ERES BGEmp2 CAUsersAdmiristretor Desktop A ENHE (3... 2011/8/9 
B EEH -H-Fi8.mp3 CAUsers\Administraton Desktop ES 4 (3)... 2013/7/9 
B EEH ] ECKE. mp3 CAUsers Administrator Desktopi ESAE (3)... 2012/9/2 
D BEES 1XxR1. mp3 CAUsersAdmiristretorNDesktop EFE CASE (3)... 2011/8/2 

CAUsers\Administrator Desktopi ENHA (3)... 2012/2/1 
CNUsersNAdministratoDesktopy& ires (3)\.. 2011/10/ 


DAF ee "NT Wm VY WS A ^n432603 1^ 
n | + 


| 
v 
y 
T 
y 


TRENAS. [C] , 73.2GB. $&ck p: 4096. 交 件 记录 太 小 * 1024. 在 150.09 积 闪 找到 1,02... iB)... 


1. JAF 
件 复 选 框 。 


恢复 的 音乐 文 2. 单 击 


STEPO7: 选择 恢复 的 音乐 文件 存储 位 置 


Ji MessenPass 
» |j Microsoft Web Application Stress Te 


bdb Misc 


e music, 
bal MyDrivers 
di n 

di nan 


选 定 存储 位 置 后 单 击 “ 确 定 ” 按 钮 。 


STEP08: 完成 整个 恢复 文件 操作 


Th SiH 4 个 文件 : 
”车 全 恢复 0 个 文件 
部 分 恢复 4 个 文件 


加 作 使 用 时 间 0.20 $. 


单 击 “ 确 定 ” 按 钮 。 


STEP09: 查看 已 恢复 的 音乐 文件 


^ "0 Ej 
GC- ki HBŽ (2 > music - 好 | f$ music »5 


文件 (P ”编辑 (E) EEV) IRT) 帮助 (H) 


X 古风 SUR 天 元 .. 
sa 在 选择 的 恢复 文件 存储 位 置 可 查看 


D 古风 音乐 IBS m... 


H Susi "deno: 
- EF EHAS . ` 
E 到 已 恢复 的 音乐 文件 。 


ag 
E) ppTV 视 频 
E um 


【提示 】 
在 直接 搜索 文件 失败 时 ， 可 启用 深度 搜索 功能 ， 该 功能 能 够 提高 文件 的 搜索 和 扫描 效果 ， 但 是 也 会 花费 更 多 的 扫描 时 间 。 


2. 通 过 扫描 特定 磁盘 位 置 恢复 数据 
Recuva 数 据 恢复 软件 还 可 以 直接 扫描 特定 的 磁盘 位 置 来 恢复 文件 ， 这 样 可 以 大 大 地 节省 扫描 时 间 ， 提 高 文件 恢复 效率 。 


STEPO1: 启动 Recuva 数 据 恢 复 软 件 


Am 
您 在 恢复 什么 类 型 的 文件 ? 


9 所 有 文件 (A) 
显示 所 有 文件 . 


了 图片 (P) 
只 显示 图 片 文 件 , 例如 数码 照片 ， 


^ 音乐 (M) 
只 显示 音乐 文件 , 例如 MP3 播放 器 的 音乐 文件 ， 


^ 文档 (D) 

只 显示 公共 办 公文 档 格式 , 例如 Word 和 Excel 文件. 
) 视频 (V) 

只 显示 视频 文件 , 例如 数码 摄像 机 拍摄 的 片段 ， 


^ 压缩 (QO 
只 显示 压缩 文件 ， 
电子 邮件 (E) 
Show only emails from Thunderbird, Outlook Express, Windows Mail and Microsoft 
Outlook. 


1. 在 “文件 类 型 ”对 话 框 2 4d UR 
中 选中 “所 有 文件 ”选项 。 ”按钮 。 


STEPO2: 选择 文件 位 置 


文件 在 哪里 ? 


O 无 法 确定 (了) 
查找 本 计算 机 中 的 所 有 位 置 ， 
O ERM ER iPod 上 
查找 所 有 可 移动 磁盘 (除了 CD 和 软盘 ) LEWER. 
O 在 我 的 文档 (D) 
查找 用 户 文档 文件 夹 . 
ullis s (B 


NIS 


On a CD / DVD 


选中 “在 特定 位 置 ”选项 后 单 击 “ 浏 览 ”按钮 。 


STEPO3: 选择 要 恢复 的 文件 夹 


«| baiduyundownload 
» |» FavoriteVideo 


edownloader 


1. 选 中 要 恢复 的 文件 夹 。 2. 单 击 “确定 ”按钮 。 


STEPO4: 查看 已 选择 的 文件 位 置 


文件 在 哪里 ? 


O 无 法 确定 上 
查找 本 计算 机 中 的 所 有 位 置 ， 
O ERMI HER iPod 上 
EPIS ET CD 和 软盘 ) EERS. 


O 在 我 的 文档 (D) 
ERAPR. 


O 在 回收 站 (B) 
查找 在 回收 站 星 闪 的 文件 ， 


e 在 特定 位 置 (5) 
E: V3 S7 ("F3 kankan 


On a CD / DVD 


<B |F- >) 


单 击 “ 下 一 步 ” 按 钮 。 


STEP05: 准备 查找 文件 


谢谢 , Recuva 已 经 准备 好 查找 您 的 文 


件 
ERGPEDSSER | none RHSROSHOHR 
BASAN 文件 并 点 击 恢复 按 电 


M ERBEN aec. 注意 此 操作 在 
大 驱动 器 上 需要 超过 一 个 


加 启用 深度 搜索 (D) 
点 击 开始 执行 查找 


单 击 “ 开 始 ” 按 钮 ， 即 可 开始 扫描 ， 接 下 
来 的 步骤 与 “通过 向 导 恢 复数 据 ” 中 的 
STEP05 ~ STEPOO 相同 。 


3. 通 过 扫描 内 容 恢复 数据 


当 具 体 的 某 个 文件 出 现 问题 时 ， 用 户 可 选择 通过 扫描 内 容 的 方式 来 恢复 文件 数据 。 现 在 就 介绍 一 下 使 用 Recuva 数 据 恢复 软 
件 通过 扫描 内 容 恢复 数据 的 具体 操作 方法 和 步骤 。 


STEPO1: 启动 Recuva 数 据 恢 复 软 件 


欢迎 来 到 Recuva [n] 5j 


可 导 会 帮助 您 恢 人 Zf. DBSE[SIES RTL 
R , Recuva Io 余下 


如 果 您 不 想 使 用 向 号 ， 简单 的 单 击 一 下 取消 您 将 可 以 访 
a 的 高 级 功能 


jo] Recuv 


自动 时 不 显示 此 向 号 O) 


在 “欢迎 来 到 Recuva 向 导 ” 对 话 框 中 单 击 “ 取 消 ” 
按钮 。 


STEP02: 打开 数据 恢复 软件 主 界 面 


4 Piriform Recuva 


E 
电子 邮件 


选择 要 扫 换 的 磁盘 以 及 文件 类 型 。 


STEP03: 单 击 “扫描 内 容 ” 命 令 


Pacuv n com vi1.49.1019 
7 IRAE < 32-bi 


'entur rie J E6300 rer Z, 4 


设置 完成 后 单 击 “ 扫 描 ” 按 钮 右 侧 的 下 三 角 图 标 ， 
在 展开 的 列表 中 单 击 “ 扫 描 内 容 ” 命 令 。 


STEP04: 输入 搜索 关键 字 


& Piriform Recuva 


BETHA: 第 15 章 RAE] 


TRA: & *.doc|*.xls|*.ppt] 


单 击 “ 扫 摘 ” 按 钮 。 


STEP05: 开始 扫描 


1EUR 2 H 4: Analyzing damage 
当前 进度 : 45% 查看 扫描 进度 ， 扫 描 完成 后 ， 用 户 
Le 可 按照 “通过 向 导 恢 复数 据 ”的 
预计 剩余 时 间 : 0 分 STEP06 ~ STEP09 进行 操作 。 


[ WM | 


第 24 章 ”计算 机 安全 防护 


现在 网 络 上 的 流氓 软件 与 间谍 软件 很 多 ， 往 往 在 用 户 浏览 某 些 网 页 时 会 被 安装 这 些 软件 目 很 不 好 印 载 ， 为 计算 机 使 用 带 来 很 
大 安全 隐患 。 应 有 效 地 使 用 专用 清除 工具 彻底 清除 这 些 流氓 软件 与 间谍 软件 ， 以 做 好 计算 机 安全 防护 工作 。 


24.4 ”间谍 软件 防护 实战 
间谍 软件 的 主要 危害 是 严重 干扰 用 户 使 用 各 种 互联 网 ， 如 推广 弹出 式 广告 、 影 响 用 户 网 上 购物 、 干 扰 在 线 著 天 、 欺 骗 用 户 浏 


览 搜索 引擎 引导 网 站 等 ， 同 时 还 有 可 能 导致 机 器 速度 变 慢 ， 突 然 网 络 断 开 等 情况 出 现 ， 这 主要 是 因为 间谍 软件 会 占 去 系统 大 量 资 
ilf. 


24.2 ”流氓 软件 的 清除 


一 些 “ 流 误 软件 ”会 通过 捆绑 共享 软件 、 采 用 一 些 特殊 手段 频繁 弹出 广告 窗口 、 窃 取 用 户 隐私 等 手段 ， 严 重 干扰 用 户 正 常 使 
用 计算 机 ， 真 可 谓 是 “彻头彻尾 的 流 误 软件 ”。 根 据 不 同 的 特征 和 危害 ， 困 扰 广大 计算 机 用 户 的 流 误 软件 主要 有 广告 软件 、 间 谍 
软件 、 浏 览 器 支持 、 行 为 记录 软件 和 恶意 共享 软件 ?类 。 


24.3 ”常见 的 网 络 安全 防护 工具 

网 络 这 个 先进 工具 给 人 们 带 来 了 无 尽 的 便捷 ， 但 在 便捷 的 同时 也 存在 着 安全 隐患 。 因 此 ， 为 了 将 安全 隐患 降 到 最 低 点 ， 最 便 
捷 有 效 的 做 法 就 是 做 好 网 络 的 安全 防御 工作 。 
244 系统 安全 设置 


虽然 用 户 不 能 完全 遏止 黑客 对 自己 计算 机 的 扫描 与 入 侵 ， 但 是 系统 安全 设置 能 够 保证 当前 的 操作 系统 处 在 相对 安全 的 状态 。 
常见 的 系统 安全 设置 有 防范 更 改 账户 名 、 蔡 用 来 宾 账 户 、 设 置 离开 时 快速 锁定 桌面 以 及 设置 账户 锁定 策略 等 。 


